01.06.2011

Приложение для POS-терминалов компании «Транзакционные системы» получило статус соответствия стандарту PA-DSS

Компания «Транзакционные системы» и компания «Информзащита» объявляют об успешном завершении совместного проекта по сертификации приложения CISBase, разработанного компанией «Транзакционный системы» для POS-терминалов Hypercom. Приложение позволяет обеспечивать прием платежей карт для оплаты в торгово-сервисных предприятиях. По требованиям платежных систем VISA и MasterCard все приложения, участвующие в обработке транзакций авторизации или проведении расчетов по пластиковым картам (authorization or clearing/settlement) должны быть сертифицированы по стандарту PA-DSS[1].

В рамках данного проекта в начале 2010 года была проведена предварительная оценка приложения CISBase и процессов разработки/поддержки ПО в ООО «Транзакционные Системы». По итогам был подготовлен детальный план работ, целью которого было достижение соответствия требованиям PA-DSS. Для помощи в реализации плана и проведения последующей сертификации была привлечена компания «Информзащита», имеющая необходимый для проведения данных работ статус PA-QSA.

Необходимо отметить, что приложение CISBase работает с ограниченными правами в защищенной среде POS-терминала, причем все модели терминалов сертифицированы по стандарту, гарантирующему безопасную обработку PIN-кода (PCI PED). Поэтому изменения в приложении коснулись лишь хранения номеров карт: в рамках подготовки к сертификации по PA-DSS была обеспечена их надежная криптографическая защита, что является обязательным требованием стандарта PA-DSS. Процесс разработки программного обеспечения в компании «Транзакционные системы» на момент принятия решения о сертификации уже был построен с учетом лучших мировых практик, хорошо структурирован и контролируем, что позволило не вносить в него каких-либо существенных изменений. В ходе подготовки к сертификации компании потребовалась лишь незначительная доработка внутренней нормативной документации.

Компанией «Информзащита» были проведены сертификационные проверки подтвердившие, что приложение CISBase и процессы разработки/поддержки ПО в ООО «Транзакционные Системы» полностью соответствуют требованиям стандарта PA-DSS. Отчетные документы по результатам сертификационной проверки прошли контроль качества со стороны Совета по безопасности индустрии платежных карт (PCI SSC).

В мае 2011 года приложению CISBase версии 1.0.x был присвоен статус соответствия стандарту PA-DSS.

По словам Сергея Орешкова, Генерального директора компании «Транзакционные системы»: «С момента создания нашей компании мы ориентировались на лучший мировой опыт для построения процесса профессиональной разработки программного обеспечения. Структурированный подход к процедурам разработки, управления версиями, исправления ошибок и контроля качества ПО позволил нам достаточно легко обеспечить требования стандарта PA DSS в части процессов разработки и поддержки. В ходе сертификации у нас сложились конструктивные и доверительные отношения с департаментом аудита компании «Информзащита», хотя сам процесс сертификации не был таким однозначным и достаточно длительным по времени. Благодаря общим усилиям, мы добились положительного результата, и мы рады, что заказчики продукта CISBase первыми из российских пользователей ПОС-терминалов получают подтверждение на соответствие терминального платежного приложения самым передовым стандартам безопасности».

Заместитель директора департамента аудита компании «Информзащита» Анна Гольдштейн отметила: «Это был непростой проект, как для нас, так и для «Транзакционных Систем», так как CISBase стал первым программным продуктом, поданным на сертификацию российской компанией-аудитором. Однако со стороны разработчиков нам были предоставлены все возможные условия для эффективной организации процесса сертификации — начиная от доступа к исходному коду и заканчивая предоставлением оборудования для тестирования. Уникальный опыт, полученный на этом проекте, позволил нам оптимизировать свои работы в рамках других текущих, а также будущих, проектов по сертификации программного обеспечения». 


[1] PA-DSS — стандарт безопасности платежных приложений (Payment Application Data Security Standard), основанный на требованиях Visa Inc. Payment Application Best Practices (PABP) и направленный на поддержку выполнения требований стандарта PCI DSS. PA DSS разработан и принят в 2008 году Советом по безопасности индустрии платежных карт (PCI SSC). В настоящий момент VISA Inc. и MasterCard Worldwide определены обязательные к выполнению сроки по завершению перехода на использование сертифицированных приложений для всех регионов, в том числе для стран CEMEA (1 июля 2010г. — для всех новых подключений агентов и предприятий торгово-сервисной сети и 1 июля 2012г. — для всех подключенных участников платежей).