29.11.2011

Достижение соответствия требованиям стандарта PA-DSS приложения SmartPOS_EMV 2.1 компании «Servus Systems Integration»

Дата окончания проекта:

29 ноября 2011 года

Заказчик:

Компания Servus Systems Integration, Ltd (SSI) была основана  в 2000-м году и на сегодня является  одним из лидеров в области банковских технологий самообслуживания и платежных систем. SSI удерживает более 70% украинского рынка POS-терминального оборудования, является ведущим поставщиком банкоматов, информационных сенсорных киосков и систем управления очередью для финансового рынка Украины. Кроме того SSI владеет большой региональной сетью сервисных центров. Клиентами компании являются более 70 банков Украины.

Задачи:

В рамках проекта перед специалистами компании «Информзащита» стояли следующие задачи:

  • консультация специалистов компании SSI по выполнению стандарта PA-DSS, по обеспечению безопасности приложения и по выстраиванию процессов разработки;
  • сертификация приложения SmartPOS_EMV 2.1 в соответствии с процедурами PA-DSS.

Потребности бизнеса:

Компания SSI самостоятельно разрабатывает программное обеспечение для всего спектра оборудования, которое предоставляет. SmartPOS_EMV 2.1 является платежным приложением, устанавливаемым на POS-терминалы. Решение дает возможность обрабатывать карты международных платежных систем.

По требованию платежных систем VISA и MasterCard все приложения, участвующие в обработке транзакций авторизации или проведении расчетов по пластиковым картам, должны быть сертифицированы на соответствие стандарту PA-DSS (стандарт безопасности платежных приложений в индустрии платежных карт).

Решение:

В начале 2011-го года аудиторами компании «Информзащита» была проведена предварительная оценка выполнения всех требований стандарта PA-DSS и сформирован подробный план работ по устранению выявленных несоответствий. В ходе составления плана был предложен и согласован ряд решений, позволивших уменьшить количество применимых требований стандарта и сократить сроки выполнения работ.

Реализация плана предусматривала внесение изменений в систему логирования приложения, а также построение процессов обеспечения безопасности на всех этапах разработки и доработки приложения, тестирование безопасности, анализ программного кода. При консультационной поддержке сертифицированных PA-QSA аудиторов было создано руководство по применению стандарта «PA-DSS Implementation Guide».

На этапе завершения работ компания «Информзащита» осуществила ряд сертификационных проверок в специально созданной тестовой лаборатории, моделирующей работу POS-терминалов со средой процессинга. Сертификационные проверки приложения, настроенного согласно руководству «PA-DSS Implementation Guide», а также процессов обеспечения безопасности на всем жизненном цикле разработки приложений, подтвердили полное соответствие SmartPOS_EMV 2.1 стандарту PA-DSS.

Результат:

29-го ноября 2011-го года Совет по безопасности индустрии платежных карт (PCI SSC) официально объявил об успешном завершении проверки документов аудита. И, как следствие, о присвоении программному обеспечению SmartPOS_EMV 2.1 компании Servus Systems Integration статуса соответствия стандарту PA-DSS.

«Благодаря опыту и четко спланированному плану действий со стороны специалистов компании «Информзащита», уже на этапе предварительной проверки удалось провести достаточный перечень мероприятий для обеспечения последующих процессов приведения программного продукта SmartPOS_EMV к требованиям стандарту безопасности PA-DSS и сертификации на соответствие вышеуказанному стандарту. Порадовали также сроки получения подтверждения «Report on Validation» от Консула, что позволило нашим Банкам-клиентам в полной мере удостовериться в безопасности программного продукта «SmartPOS_EMV» в заявленные для них сроки», – прокомментировала событие Генеральный директор компании Servus Systems Integration Эльнура Мамедли.

«Подготовка и сертификация SmartPOS_EMV прошли в достаточно сжатые сроки, что стало возможным благодаря слаженным совместным действиям, профессионализму специалистов Servus Systems Integration и согласованным решениям по достижению соответствия стандарту», – отметил Алексей Бабенко, старший аудитор компании «Информзащита».

Справка:

Payment Application Data Security Standard (Стандарт безопасности данных платежных приложений) — это набор требований к безопасности платежных приложений, обрабатывающих данные держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover. Цель разработки стандарта PA-DSS — повысить защищенность платежных приложений и помочь в выполнении требований PCI DSS. По требованию VISA и MasterCard все банки-эквайеры при подключении новых торгово-сервисных предприятий должны убедиться в том, что ТСП используют соответствующие приложения, сертифицированные по стандарту PA-DSS. К 12-му июля 2012-го года уже все подключенные участники платежного процесса должны будут использовать сертифицированные по PA-DSS приложения.