15.04.2010

Что грозит разработчикам платежных приложений в случае несоответствия требованиям PA DSS?

Golshtein_AB

Автор: Анна Гольдштейн

Должность: директор департамента развития бизнеса компании «Информзащита»

Через некоторое время рынок продаж для несертифицированных приложений будет ограничен, и их перестанут покупать клиенты, работающие с картами международных платежных систем. Несмотря на то, что реализовать требования стандарта может только разработчик платежного приложения, никакого прямого воздействия на него ни разработчик стандарта (PCI SSC), ни МПС оказывать не могут. Поэтому требования по использованию сертифицированных приложений МПС предъявляют к своим членам.

Нарушение объявленных Visa сроков может грозить применением штрафных санкций со стороны платежной системы. Безусловно, компании сами вправе оценивать данный риск.

Первый вопрос, который волнует всех разработчиков — это область применения стандарта, то есть какие приложения сертифицируются, какие — нет, а также границы применения стандартов PA-DSS и PCI DSS, то есть за что отвечает именно разработчик приложения. Ну и вторая, пожалуй, по популярности тема — это поддержка сертификации. Дело в том, что сертификат дается на конкретную версию приложения и в дальнейшем необходимо проводить процедуры «досертификации», к которым в любом случае необходимо привлекать аудитора, а в зависимости от характера изменений, может потребоваться повторное проведение части сертификационных процедур и оформление соответствующей отчетности.

Для справки.

PA DSS — стандарт безопасности платежных приложений (Payment Application Data Security Standard), основанный на требованиях Visa Inc. Payment Application Best Practices (PABP) и направленный на поддержку выполнения требований стандарта PCI DSS. PA DSS разработан и принят в 2008 году Советом по безопасности индустрии платежных карт (PCI SSC). По требованиям платежных систем VISA и MasterCard все приложения участвующие в обработке транзакций авторизации или проведения расчетов по пластиковым картам (authorization or clearing/settlement) должны быть сертифицированы по стандарту PA DSS. В настоящий момент VISA Inc. определены обязательные к выполнению сроки по завершению перехода на использование сертифицированных приложений для всех регионов (1 июля 2010 года — для всех новых подключений агентов и предприятий торгово-сервисной сети и 1 июля 2012 года — для всех подключенных участников платежей).