Mobipay Безопасность
 
 

Комплекс мер по соблюдению
информационной безопасности 
обеспечивает:

·         защиту информации от различного рода вирусных и хакерских угроз;

·         сохранность данных при физической утрате и поломках информационных носителей;

·         безопасность доступа к хранимым ресурсам;

·         восстановление информационной системы в случае повреждений.

·         Все операции происходят исключительно по защищенным каналам связи с использованием сертификатов SSL, а также с дополнительным предварительным шифрованием передаваемых данных.

·         Возможность использования двухфакторной авторизации.

Данный метод авторизации, позволяет точно идентифицировать владельца счета, и не требует запоминания логинов или паролей для доступа. В качестве логина пользователь вводит номер телефона и сразу же получает на свой телефон OTP (одноразовый динамический пароль), который вводит для авторизации с в системе.

·         При выводе средств или изменением каких-либо настроек используется дополнительный OTP, который отправляется так же на номер телефона. 

·         Для дополнительной надежности обрабатываемых транзакций мы используем систему мониторинга всех платежей в автоматическом и ручном режиме.

·          Дополнительные функции, позволяющие повысить уровень безопасности:

           -    управление электронным кошельком с фиксированного IP-адреса,

           -    мгновенное уведомление о совершенной операции по SMS, е-mail и т.д.

·         При интеграции с партнерами предлагается несколько типов интеграции, начиная от самой простой, заканчивая интеграцией по API. Окончательное решение остается всегда за партнером.

Обеспечение отказоустойчивости модулей системы, используемые для этого средства

Для возможности обеспечения отказоустойчивости и балансировки нагрузки на систему мы руководствуемся общемировыми стандартами High Availability (HA) and Load Balancing (LB)

Возможность использования высоко-доступного кластера (High-Availability cluster) для размещения решения обеспечивает отказоустойчивость за счет аппаратной избыточности и механизмов восстановления процессов Системы в случаях аппаратных или программных сбоев.

Используемые технологии 
защиты информации                                                 В основе стратегии безопасности используются основные международные стандарты, определяющие требования к системам управления информационной безопасностью и управления рисками. 

Решения используют только безопасные каналы обмена информацией (использование сертификатов SSL), поэтому передача данных предварительно шифруется.

Для доступа и авторизации операций используем OTP (One time password)-  SMS одноразовые пароли.

Применяем стандартные практики по защите от основных уязвимостей:SQL Injections

               -   XSS (Cross Site Scripting)

               -   Insecure Direct Object References

               -   Cross-Site Request Forgery, CSRF/XSRF

               -   Using Components with Known Vulnerabilities

               -   Unvalidated Redirects and Forwards

               -   Fault tolerantСейчас ведется подготовка к внедрению системы защиты  кода ionCube
и дальнейшему прохождению независимого аудита компанией Qualys Enterprise (Express).