07.06.2011

Достижение соответствия требованиям стандарта PA-DSS приложения UNIVERSAL EMV POS компании «Арком»

Дата окончания проекта:

7 июня 2011 года

Заказчик:

Компания «Арком»  является интегратором в области платежных технологий и банковских карт. С 1996-го года компания сотрудничает с французским предприятием Ingenico – мировым лидером по производству и поставкам POS-оборудования. «Арком» является прямым дистрибутором Ingenico и осуществляет полный цикл услуг от поставки оборудования и разработки программных средств до гарантийного ремонта и обслуживания. Более 100 крупнейших банков в России, странах СНГ и за рубежом являются клиентами «Арком». Подробная информация о деятельности компании представлена на сайте: www.arcom-group.com

Потребности бизнеса:

UNIVERSAL EMV POS — приложение, устанавливаемое на POS-оборудование Ingenico и обеспечивающее функционал по приему безналичных платежей с использованием карт международных платежных систем.

По требованиям платежных систем VISA и MasterCard все приложения, участвующие в обработке транзакций авторизации или проведении расчетов по пластиковым картам, должны быть сертифицированы на соответствие стандарту безопасности платежных приложений в индустрии платежных карт (PA-DSS).

Задачи:

В рамках проекта перед компанией «Информзащита» стояли следующие задачи:

  • консультирование специалистов компании «Арком» по стандарту PA-DSS, безопасности приложения и процессов разработки;
  • сертификация приложения UNIVERSAL EMV POS и комплексного решения Arcus 2, построенного на его основе, в соответствии с процедурами и стандартом качества Совета по безопасности индустрии платежных карт (PCI SSC).

Решение:

Весной 2010-го года аудиторами «Информзащиты» была проведена предварительная оценка выполнения стандарта, а затем совместно со специалистами Арком был сформирован детальный план работ, целью которого являлось достижение соответствия требованиям PA-DSS.

В процессе реализации плана в приложение были внесены незначительные изменения, позволившие дополнительно усилить процедуры аутентификации администраторов. Кроме того, в приложении был реализован собственный, независимый от настроек системы управления POS-терминалами, механизм регистрации значимых для информационной безопасности событий, а также некоторые другие контролирующие функции.  

По завершению всех работ, летом 2010-го года, компания «Информзащита» провела проверки приложения, процессов разработки и тестирования компании «Арком». Для этого в тестовой лаборатории «Арком» был создан стенд, моделирующий работу POS-оборудования с программным обеспечением UNIVERSAL EMV POS в реальной жизни. В том числе проверялись различные конфигурации на POS-терминалах и пинпадах, во взаимодействии с контрольно-кассовой техникой (внешним компьютером) и в отдельном исполнении. Предметом отдельного внимания стало обеспечение безопасного обмена с серверами процессинга и серверами управления, обновления и параметризации оборудования. На протяжении всего периода сертификационного аудита, начиная с момента установки ПО на POS-оборудование, права доступа в тестовой среде имели только аудиторы «Информзащиты». Параллельно специалистами компании «Информзащита» проводился анализ исходного кода приложения на применение технологии безопасного программирования, соблюдения инструкций по разработке, тестированию и сопровождению ПО.

Сертификационные проверки приложения, настроенного согласно разработанному для клиентов «Арком» руководству «PA DSS Implementation Guide», подтвердили его полное соответствие стандарту.

Результат:

7-го июня 2011-го года Совет по безопасности индустрии платежных карт (PCI SSC) официально объявил об успешном результате проверки документов аудита и о присвоении программному обеспечению UNIVERSAL EMV POS компании «Арком» статуса соответствия стандарту PA-DSS.

Павел Александров, Генеральный директор ARCOM Group, отметил: «Компания «Арком» всегда уделяла большое внимание защите критичных данных в программных решениях. Задача по получению сертификата PA-DSS на платежные приложения была поставлена нами еще в 2009-м году, поскольку на зарубежных рынках, где «Арком» имеет значительные проекты, требование на соответствие программного обеспечения стандарту PA-DSS является обязательным для банков уже более года. Теперь это стало актуально и в России, ведь с 1-го июля 2012-го года по требованиям VISA и MasterCard все банки-эквайеры при подключении новых торгово-сервисных предприятий должны использовать соответствующие приложения, сертифицированные по стандарту PA-DSS. Благодаря плодотворному сотрудничеству с компанией «Информзащита» нам удалось привести процесс разработки и собственно продукт UNIVERSAL EMV POS в строгое соответствие с PA-DSS точно в срок, подтвердив тем самым соответствие платежного приложения передовым стандартам безопасности».

Анна Гольдштейн, заместитель директора департамента аудита компании «Информзащита», считает: «Ценность сертификации приложения по стандарту PA-DSS заключается в уверенности клиентов в том, что использование этого приложения не создает никаких трудностей в реализации требований PCI DSS. Мы уверены в том, что «Арком» не только подтвердил безопасность UNIVERSAL EMV POS на текущий момент времени, но и обеспечит в дальнейшем должный уровень защищенности и поддержки для новых версий данного приложения».

Справка:

Payment Application Data Security Standard (Стандарт безопасности данных платежных приложений) — это набор требований к безопасности платежных приложений, обрабатывающих данные держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover. Цель разработки стандарта PA-DSS — повысить защищенность платежных приложений и помочь в выполнении требований PCI DSS. По требованиям VISA и MasterCard все банки-эквайеры при подключении новых торгово-сервисных предприятий должны убедиться в том, что ТСП используют соответствующие приложения, сертифицированные по стандарту PA-DSS. К 1-му июля 2012-го года уже все подключенные участники платежного процесса должны будут использовать сертифицированные по PA-DSS приложения.