Здравствуйте, Eugeny__, Вы писали:
E__>ААА, блин. Написал тут телегу на пару страниц, а потом вырубили свет. Обидно-то как. Ну ладно, попробую снова, но не так основательно.
Lazarus тебе в помощь. Я уже давно не переживаю по этому поводу.
E__>А мы не казуалку пишем, это деньги
Хорошо, что вы это понимаете. У нас платежные терминалы в массе своей — вообще не пойми что.
E__>хотя embedded их не назовешь, там обычный комп унутре,
А что такое embedded? Embedded — это ж не обязательно процессор ARM и 64 Кб оперативки. У какого-нибудь телевизора тоже внутренности сильные, особенно, если он Full HD с флешек играет.
E__>Есть еще POS терминалы — забавные девайсы с 64 килобайтами памяти. В них ОС нету вообще(куда ее в эту память пихать-то?).
Ну на смарт карты как-то пихают
E__>Кстати, как на твой, как безопасника, взгляд, достаточно, или таки недобдели где-то?
POS — это отдельная песня, в ней я слабо разбираюсь.
Платежные терминалы — для начала надо исключить возможность физического изъятия денег из них
Плюс ты про контроль целостности ничего не сказал — надо, чтобы несанкционированные попытки изменения ПО отслеживались.
Ну и, насколько я понимаю, эксплуатируют-то их третьи лица, а окружение определяет многое — можете разработать рекомендации по построению платежных систем на базе ваших терминалов, чтобы потом вопросов к вам не было, если кто-то начнет утверждать, что из-за вас у них деньги увели.
Ну и надо национальную специфику учесть — у нас бы это было, как минимум, законодательство в области защиты КТ + персональные данные (паспортные данные, небось, просите вводить, при кредитных платежах).
E__>ЗЫ мы прошли PCIDSS слёту, все время заняла бюрократия — нам толком менять ничего не пришлось, все соответствовало их правилам и так. Банки проходят аудит в разы, а то и на порядки дольше.
Банкам и сложнее
А так да — в общем-то PCI DSS 12 достаточно подробно разжеванных требований. Другое дело, что еще есть правила самой МПС Visa — можно умудриться их нарушить в погоне за безопасностью
Здравствуйте, Antikrot, Вы писали:
M>>>Что ты имеешь в виду? C>>Meego — это вполне себе десктопный Линукс с поддержкой от вполне себе крупных игроков. A>вот только там про десктоп ни слова не написано. а всё что написано какбэ намекает что это не для десктопа...
Для нетбуков и мобильных устройств. Впрочем, на десктопе оно тоже вполне себе нормально поддерживается.
C>>>Ась? C>>>http://meego.com/ — участвует Intel, AMD, Nokia и ещё несколько товарищей. M>>Что ты имеешь в виду? C>Meego — это вполне себе десктопный Линукс с поддержкой от вполне себе крупных игроков.
Только почему-то этот "десктопный" линукс развивается исключительно в мобильном направлении. И корни у него именно в мобильном направлении
Здравствуйте, Eugeny__, Вы писали:
E__>>>ААА, блин. Написал тут телегу на пару страниц, а потом вырубили свет. Обидно-то как. Ну ладно, попробую снова, но не так основательно.
AV>>Вот-вот. Бесперебойник надо брать. Раньше сам изредка матерился. А сейчас кайфую.
E__>Да надо.
Надо-надо.
E__>Правда, у меня машина в три горла жрет, надо еще думать, что за бесперебойник брать...
У меня Socomec Netys PR2000. Пока что доволен как слон. Брал с некоторым запасом, потому что планирую еше парочку устройств посадить на него.
Здравствуйте, DOOM, Вы писали:
E__>>ААА, блин. Написал тут телегу на пару страниц, а потом вырубили свет. Обидно-то как. Ну ладно, попробую снова, но не так основательно. DOO>Lazarus тебе в помощь. Я уже давно не переживаю по этому поводу.
Эх, не люблю я Лису. А в Опере аддоны пока только в бете, и их еще мало...
E__>>А мы не казуалку пишем, это деньги DOO>Хорошо, что вы это понимаете. У нас платежные терминалы в массе своей — вообще не пойми что.
Да знаю я. Своими глазами видел софт(да, да, мы такие редиски — к нам по разным причинам попадали и исходы чужие, и даже базы, а мы их, негодники такие, анализировали на момент поржать/перенять умные идеи/посоветовать "своим" агентам жирные точки), который для пополнения тупо слал на определенный адрес что-то типа
Ни шифрования, ни проверки подлинности, нихрена. Такая себе сферическая детская наивность в вакууме. Работало с любых адресов. Сейчас ТАКИХ идиотов уже нет(естественный отбор же), но все равно. Хотя чем больше идиотизма у конкурентов, тем нам лучше.
E__>>Есть еще POS терминалы — забавные девайсы с 64 килобайтами памяти. В них ОС нету вообще(куда ее в эту память пихать-то?). DOO>Ну на смарт карты как-то пихают
Мне там ось и нафиг не впилась.
E__>>Кстати, как на твой, как безопасника, взгляд, достаточно, или таки недобдели где-то? DOO>POS — это отдельная песня, в ней я слабо разбираюсь. DOO>Платежные терминалы — для начала надо исключить возможность физического изъятия денег из них
Это проблемы исключительно агентов. Мы, как процессинг, по этому поводу не паримся, нам своих заморочек хватает.
DOO>Плюс ты про контроль целостности ничего не сказал — надо, чтобы несанкционированные попытки изменения ПО отслеживались.
Есть. Ну, точнее там все по-хитрому.
DOO>Ну и, насколько я понимаю, эксплуатируют-то их третьи лица, а окружение определяет многое — можете разработать рекомендации по построению платежных систем на базе ваших терминалов, чтобы потом вопросов к вам не было, если кто-то начнет утверждать, что из-за вас у них деньги увели.
Не понял. Кому и для чего рекомендации.
DOO>Ну и надо национальную специфику учесть — у нас бы это было, как минимум, законодательство в области защиты КТ + персональные данные (паспортные данные, небось, просите вводить, при кредитных платежах).
Никаких паспортных данных не нужно.
Данные же кредитных карт передаются и хранятся надежно(иначе хрен бы мы PCI DSS прошли).
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
E__>>Правда, у меня машина в три горла жрет, надо еще думать, что за бесперебойник брать...
AV>У меня Socomec Netys PR2000. Пока что доволен как слон. Брал с некоторым запасом, потому что планирую еше парочку устройств посадить на него.
Девайс хороший, но 600 баксов... Имхо, для домашнего компа жирно будет — за эти деньги ноут взять можно.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
E__>>>Правда, у меня машина в три горла жрет, надо еще думать, что за бесперебойник брать...
AV>>У меня Socomec Netys PR2000. Пока что доволен как слон. Брал с некоторым запасом, потому что планирую еше парочку устройств посадить на него.
E__>Девайс хороший, но 600 баксов... Имхо, для домашнего компа жирно будет — за эти деньги ноут взять можно.
Здравствуйте, Cyberax, Вы писали:
M>>>>Что ты имеешь в виду? C>>>Meego — это вполне себе десктопный Линукс с поддержкой от вполне себе крупных игроков. A>>вот только там про десктоп ни слова не написано. а всё что написано какбэ намекает что это не для десктопа... C>Для нетбуков и мобильных устройств. Впрочем, на десктопе оно тоже вполне себе нормально поддерживается.
тебя, разумеется, не затруднит привести ссылочки где крупные игроки поддерживают вот этот конкретный дистрибутив на десктопах?
Здравствуйте, Antikrot, Вы писали:
A>>>вот только там про десктоп ни слова не написано. а всё что написано какбэ намекает что это не для десктопа... C>>Для нетбуков и мобильных устройств. Впрочем, на десктопе оно тоже вполне себе нормально поддерживается. A>тебя, разумеется, не затруднит привести ссылочки где крупные игроки поддерживают вот этот конкретный дистрибутив на десктопах?
На нетбуках. Впрочем, пока ещё нигде — он толком ещё не вышел.
Здравствуйте, Cyberax, Вы писали:
A>>>>вот только там про десктоп ни слова не написано. а всё что написано какбэ намекает что это не для десктопа... C>>>Для нетбуков и мобильных устройств. Впрочем, на десктопе оно тоже вполне себе нормально поддерживается. A>>тебя, разумеется, не затруднит привести ссылочки где крупные игроки поддерживают вот этот конкретный дистрибутив на десктопах? C>На нетбуках. Впрочем, пока ещё нигде — он толком ещё не вышел.
да, отлично стыкуется с "вполне себе десктопный Линукс с поддержкой от вполне себе крупных игроков"
а пока ни дистрибутива толком, ни десктопа (кто-то обещал десктоп), ни поддержки (поддерживать толком нечего). и кажется ты не первый раз такую "аргументацию" используешь теоретик...
DOO>>Платежные терминалы — для начала надо исключить возможность физического изъятия денег из них E__>Это проблемы исключительно агентов. Мы, как процессинг, по этому поводу не паримся, нам своих заморочек хватает.
Почему это исключительно агентов? Вот я смотрю на среднестатистический терминал и банкомат и вижу огромную разницу в физической укрепленности — поэтому ни один банк пока не работает с производителями платежных терминалов — они не доверяют этим железкам.
DOO>>Ну и, насколько я понимаю, эксплуатируют-то их третьи лица, а окружение определяет многое — можете разработать рекомендации по построению платежных систем на базе ваших терминалов, чтобы потом вопросов к вам не было, если кто-то начнет утверждать, что из-за вас у них деньги увели. E__>Не понял. Кому и для чего рекомендации.
Ну вот есть у нас некая организация, выпускающая платежный софт и, вроде даже, свои терминалы. Есть другая организация, которая использует этот софт и терминалы для построения своей платежной системы — есть мы, консультирующие эту последнюю организацию, как им построить нормально платежную систему, потому что производитель софта толком не разбирается в вопросе. Разбирались бы — получили бы конкурентное преимущество.
DOO>>Ну и надо национальную специфику учесть — у нас бы это было, как минимум, законодательство в области защиты КТ + персональные данные (паспортные данные, небось, просите вводить, при кредитных платежах). E__>Никаких паспортных данных не нужно.
Ну замечательно тогда. E__>Данные же кредитных карт передаются и хранятся надежно(иначе хрен бы мы PCI DSS прошли).
Тем более замечательно.
DOO>>>Платежные терминалы — для начала надо исключить возможность физического изъятия денег из них E__>>Это проблемы исключительно агентов. Мы, как процессинг, по этому поводу не паримся, нам своих заморочек хватает. DOO>Почему это исключительно агентов? Вот я смотрю на среднестатистический терминал и банкомат и вижу огромную разницу в физической укрепленности — поэтому ни один банк пока не работает с производителями платежных терминалов — они не доверяют этим железкам.
Во-первых, тогда терминал будет стоить как самолет. И ни один агент его никогда не купит. Мы тут вообще не причем: мы процессинг, и насколько укреплен терминал, решает именно агент, как полноправный владелец железа. Кстати, по поводу банков верно — они тоже работают с нами, но покупают куда более укрепленные девайсы. Но банк может себе это позволить, агент — нет. Тупо выгоднее купить 20 обычных терминалов, чем 5 укрепленных. Вероятность взлома невелика, а окупаться 20 будут сильно быстрее, чем 5. Особенно если стоят они в помещениях. Уличники более укреплены(хотя там уже пофигу: в 3 утра одинаково успешно ломают девайсы любой укрепленности).
С банкоматами, кстати, тоже не совсем корректное сравнение — в терминал помещается обычно 500-900 купюр различной екости(чаще небольшой, крупных немного), а в банкомат это 4-8 кассет по 3000 купюр, причем там чаще крупные.
DOO>>>Ну и, насколько я понимаю, эксплуатируют-то их третьи лица, а окружение определяет многое — можете разработать рекомендации по построению платежных систем на базе ваших терминалов, чтобы потом вопросов к вам не было, если кто-то начнет утверждать, что из-за вас у них деньги увели. E__>>Не понял. Кому и для чего рекомендации. DOO>Ну вот есть у нас некая организация, выпускающая платежный софт и, вроде даже, свои терминалы. Есть другая организация, которая использует этот софт и терминалы для построения своей платежной системы — есть мы, консультирующие эту последнюю организацию, как им построить нормально платежную систему, потому что производитель софта толком не разбирается в вопросе. Разбирались бы — получили бы конкурентное преимущество.
Ага, ну то есть, учить конкурентов, как делать платежные системы? Очень мило. Нам куда выгоднее объяснить их агентам наши преимущества, и подключить их к нашему процессингу. И чем хуже софт у этих "неких организаций", тем лучше нам.
ЗЫ производители терминалов и софта — это обычно разные, ничем не пересекающиеся конторы. Несмотря на то, что процессинги номинально продают терминалы, на деле это просто "для галочки" — они банально перекупаются, заморачиваться этим просто нет смысла. В реале 99.9% терминалов агенты покупают у производителей напрямую.
И да, производители терминалов сотрудниками техотделов процессингов очень "любимы": нам пофигу на слабую физическую защиту, но вот любовь к впихиванию в нутря компа неликвида, б/у, и всякого хлама вроде sis вызывает тонны ненависти. Например, явно б/у проц(какой-то селерон 1000 доисторический) на безымянной матери от дядюшки Ляо с sis чипсетом с тремя планками по 128 метров(это было замечено в 2010 году в новом терминале) вызывают тонны ненависти, так как рабоает это все очень глючно, не говоря уже о тормозах. Звонят агенту — "а что, он плохой? Вроде с виду красивый, и взял недорого" и говорит сумму на 200 баксов ниже обычной цены такого девайса. Ну твою ж мать... А ты говоришь, чтобы они еще за прочный корпус платили — хрен там, удавятся скорее.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
E__>С банкоматами, кстати, тоже не совсем корректное сравнение — в терминал помещается обычно 500-900 купюр различной екости(чаще небольшой, крупных немного), а в банкомат это 4-8 кассет по 3000 купюр, причем там чаще крупные.
Вот как... Даже не знал...
E__>Ага, ну то есть, учить конкурентов, как делать платежные системы? Очень мило. Нам куда выгоднее объяснить их агентам наши преимущества, и подключить их к нашему процессингу. И чем хуже софт у этих "неких организаций", тем лучше нам.
Ну почему. У вас же есть ваши же агенты? Которые используют вас как провайдера сервиса (ну я с нашими всякими Qiwi сравниваю)? Им же тоже надо объяснять наверное, что, в том числе, не стоит брать терминал с китайским noname'ом.
E__>ЗЫ производители терминалов и софта — это обычно разные, ничем не пересекающиеся конторы. Несмотря на то, что процессинги номинально продают терминалы, на деле это просто "для галочки" — они банально перекупаются, заморачиваться этим просто нет смысла. В реале 99.9% терминалов агенты покупают у производителей напрямую. E__>И да, производители терминалов сотрудниками техотделов процессингов очень "любимы": нам пофигу на слабую физическую защиту, но вот любовь к впихиванию в нутря компа неликвида, б/у, и всякого хлама вроде sis вызывает тонны ненависти. Например, явно б/у проц(какой-то селерон 1000 доисторический) на безымянной матери от дядюшки Ляо с sis чипсетом с тремя планками по 128 метров(это было замечено в 2010 году в новом терминале) вызывают тонны ненависти, так как рабоает это все очень глючно, не говоря уже о тормозах. Звонят агенту — "а что, он плохой? Вроде с виду красивый, и взял недорого" и говорит сумму на 200 баксов ниже обычной цены такого девайса. Ну твою ж мать... А ты говоришь, чтобы они еще за прочный корпус платили — хрен там, удавятся скорее.
Да уж... Экономитсы, блин.
E__>>С банкоматами, кстати, тоже не совсем корректное сравнение — в терминал помещается обычно 500-900 купюр различной екости(чаще небольшой, крупных немного), а в банкомат это 4-8 кассет по 3000 купюр, причем там чаще крупные. DOO>Вот как... Даже не знал...
Ну, это стандартный стекер на 1000 купюр(но надо понимать, что 1000 в него помещается разве что новеньких, только со станка, купюр, реально может и при 500 быть полным — в маленьких городах, где очень многие суют мятые 1-2-5-10 гривенники). Бывают на 1500 и 2000, но значительно реже. А бывают и совсем забавные варианты. Народ рассказывал, как один мужик снял стекер, укрепил датчик(чтобы купюрник думал, что стекер установлен), и подцепил снизу... мешок. Обычный такой пластиковый мешок. Купюр туда влазило, естественно, немеряно. Но ему объяснили, что это до первого "рыбака" — если кто-то привяжет ниточку к банкноте, то сможет ей нахаляву напополнять очень много, так как из стекера ниточкой купюры назад не вытянуть(специальный механизм предусматривает защиту), а если купюра просто повиснет на ниточке в пространстве мешка, то запросто.
E__>>Ага, ну то есть, учить конкурентов, как делать платежные системы? Очень мило. Нам куда выгоднее объяснить их агентам наши преимущества, и подключить их к нашему процессингу. И чем хуже софт у этих "неких организаций", тем лучше нам. DOO>Ну почему. У вас же есть ваши же агенты? Которые используют вас как провайдера сервиса (ну я с нашими всякими Qiwi сравниваю)? Им же тоже надо объяснять наверное, что, в том числе, не стоит брать терминал с китайским noname'ом.
Умные агенты, которые сначала спрашивают, а потом покупают, есть, но они на вес золота. В массе же своей сначала покупают, а потом говорят вот — настраивайте. Ну или просто мигрируют с другого процессинга, там уже выбирать не приходится.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.