3 сентября 2010 года
поиск
Информзащита - Нам доверяют защиту информации


Контакты

127018, Россия, Москва, а/я 55

+7 (495) 980-23-45 (многоканальный)

Сертификация приложений на соответствие стандарту PA DSS

PA DSS - стандарт безопасности платежных приложений (Payment Application Data Security Standard), основанный на требованиях Visa Inc. Payment Application Best Practices (PABP) и направленный на поддержку выполнения требований стандарта PCI DSS. PA DSS разработан и принят в 2008 году Советом по безопасности индустрии платежных карт (PCI SSC). Действующая на текущий момент версия стандарта  - 1.2 (с 1 октября 2008 года).

По требованиям платежных систем VISA и MasterCard все приложения участвующие в обработке транзакций авторизации или проведения расчетов по пластиковым картам (authorization or clearing/settlement) должны быть сертифицированы по стандарту PA DSS. В настоящий момент VISA Inc. определены обязательные к выполнению сроки по завершению перехода на использование сертифицированных приложений для всех регионов, в том числе для стран CEMEA (1 июля 2010г. – для всех новых подключений агентов и предприятий торгово-сервисной сети и 1 июля 2012г. –для всех подключенных участников платежей[1]).

На кого распространяется действие стандарта PA DSS

Сертифицировать приложения на соответствие PA DSS необходимо компаниям - разработчикам следующего вида программного обеспечения (ПО):

  • Готовые приложения платежных систем, которые обычно поставляются и устанавливаются производителями программного обеспечения без значительных доработок,  в том числе:
    a)  ПО процессинга (front-office, back-office (расчеты), middleware/switching)
    b)  ПО для банкоматов
    c)  ПО для POS-терминалов[2]
    d)  ПО для поддержки электронной коммерции
    e)  ПО мобильной коммерции (если идет обработка данных платежных карт)
  • Приложения платежных систем, состоящие из модулей, которые обычно включают основной модуль и отдельные модули, реализующие определенные функции клиента или настраиваемые по запросу клиента. Стандарт PA DSS применяется только к основному модулю, если он является единственным модулем, выполняющим платежные функции (что должно быть подтверждено аудитором PA-QSA). Если другие модули тоже реализуют платежные функции, стандарт PA DSS распространяется также и на них.

Сертифицировать приложения на соответствие PA DSS не нужно в следующих случаях:

  • Платежные приложения разработаны только для одного клиента и проданы только ему – безопасность этого приложения и процесса его разработки будут проверены в рамках сертификации на соответствие PCI DSS инфраструктуры клиента
  • Платежные приложения разработаны непосредственно организацией, их использующей и  не предназначены для продажи третьей стороне - безопасность этого приложения и процесса его разработки будут проверены в рамках аудита на соответствие PCI DSS данной организации.

Причины выбора компании «Информзащита» партнером на пути к достижению соответствия PA DSS

  1. Сертификацию по стандарту PA DSS может проводить только аудитор имеющий статус PA QSA. В штате компании «Информзащита» есть сертифицированные аудиторы (PA QSA). Также «Информзащита» заканчивает процесс получения статуса PA QSA для Компании.
  2. Сертифицированный аудитор (PA QSA) поможет вам в построении плана приведения к соответствию, в частности это позволит:
    • - Осуществить выбор оптимальной схемы выполнения требований стандарта PA DSS
    • - Повысить общий уровень понимания требований стандарта PCI DSS и PA DSS и особенностей его реализации
    • - Оценить реальные затраты и сроки на доработку приложений для сертификации
  3. Консультации сертифицированного аудитора (PA QSA) в процессе выполнения работ плана приведения к соответствию позволяет минимизировать затраты и сроки на его реализацию, избегая ошибок в трактовке требований и выбирая оптимальный путь их претворения в жизнь.

Методика оказания услуги

Наиболее эффективной схемой организации работ является разбиение их на 4 последовательных этапа:

Этап 1. Первичный анализ приложения и разработка плана действий:

  • Анализ существующей документации на разработанное приложение
  • Анализ существующих документов, регламентирующих процесс разработки ПО,  проведение интервьюирования разработчиков для оценки соответствия процесса разработки программного обеспечения
  • Предварительная оценка выполнения всех требований стандарта PA DSS и выявление несоответствий
  • Разработка возможных путей устранения выявленных несоответствий, согласование и документирование выбора окончательного варианта
  • Разработка перечня отсутствующих документов, требований и рекомендаций к их содержанию
  • Разработка и согласование  плана работ по устранению несоответствий

Этап 2. Реализация плана приведения в соответствие:

  • Консультации по применению стандартов PCI DSS, PA DSS, выбору адекватных защитных мер и другим вопросам в рамках реализации плана приведения в соответствие
  • Проверка документации, регламентирующей процессы разработки, тестирования и внедрения ПО, а также другую требуемую стандартом PA DSS нормативную документацию по ИБ, дорабатываемую/разрабатываемую в рамках реализации плана
  • Консультации по разработке руководства для клиентов (а также дилеров и системных интеграторов, если применимо), использующих приложение, по выполнению требований PCI DSS (Implementation Guide)
  • Периодический контроль реализации плана с занесением информации в предварительный отчет о соответствии
  • Иные работы по реализации плана приведения в соответствие, объем которых и необходимая степень участия в них сертифицированного аудитора определяется после завершения 1-го этапа

Этап 3. Сертификационная проверка реализации требований «на месте»

  • Проверка в лаборатории[3] выполнения всех непосредственно применимых к сертифицируемым приложениям требований PCI DSS (правила хранения номеров карт, запрет хранения критичных данных, протоколы аутентификации, парольная политика, протоколирование событий и др.) для каждой сертифицируемой платформы (ОС, СУБД)
  • Проверка архитектуры, документации и самих приложений на предмет совместимости с остальными применимыми требованиями PCI DSS
  • Проверка выполнения требований ИБ в рамках процессов разработки и поддержки приложений
  • Тестирование безопасности приложений, в том числе используемых протоколов/интерфейсов  взаимодействия модулей, анализ исходного кода, тестирование безопасности web-интерфейсов приложений на уязвимости

Этап 4. Оформление отчета и завершение сертификации

  • Доработка отчета о сертификационной проверке (Report on Validation) в соответствии с требованиями процедуры проверки
  • Перевод отчета Report on Validation на английский язык
  • Отправка в PCI SSC отчета «Report on Validation» вместе с  заключением «Attestation of Validation» и подписанным Вендором соглашением «PCI SSC’s Payment Card Industry PA-DSS Vendor Release Agreement», разрешающим проверку данного отчета советом PCI SSC
  • Согласование с PCI SCC отчета «Report on Validation»

Результаты

Результатом завершения работ является получение компанией-разработчиком ПО так называемого «PA-DSS Acceptance Letter» от Совета по безопасности индустрии платежных карт (PCI SSC), подтверждающего признание Советом результатов сертификационного аудита данного приложения и его соответствие требованиям стандарта PA DSS 1.2.

Также, после получения от компании-разработчика ПО оплаты за публикацию, совет PCI SSC публикует данное приложение в списке сертифицированных приложений на специальном разделе своего Web-сайта (https://www.pcisecuritystandards.org/security_standards/vpa/)

Чем определяются срок и цена сертификации приложения по PA DSS

Ориентировочно, сертификация может занять от двух месяцев до полугода. Ниже приведены основные факторы, влияющие на увеличение сроков и цены сертификации приложения:

  • Насколько далеко от соответствия само приложение к началу работ
  • Насколько готово руководство по выполнению требований PCI DSS (implementation guide)
  • Сложность функционала (от отдельного модуля до большого приложения процессинга), используемые языки программирования и объем кода
  • Количество поддерживаемых приложением платформ[4] (ОС, БД)
  • Количество поддерживаемых протоколов взаимодействия/интеграционных протоколов с другими решениями в рамках платежного процесса
  • Возможность организации компанией-разработчиком выделенной среды для тестирования приложения

Поддержка сертификации

На соответствие стандарту PA DSS сертифицируется конкретная версия приложения.  Все вносимые разработчиком после сертификации изменения делятся  с точки зрения их возможного влияния на обеспечение безопасности данных платежных карт на два вида:

  • Не затрагивающие вопросы безопасности и платежные процессы: для таких изменений требуется анализ PA QSA только для подтверждения факта отсутствия влияния[5]
  • Затрагивающие вопросы безопасности или реализацию платежного процесса: для таких изменений необходимо проведение сертификационных проверок в части анализа безопасности новой версии приложения с выпуском нового отчета о сертификационной проверке (Report of Validation).

Компания «Информзащита» готова к долгосрочному сотрудничеству в рамках поддержания соответствия сертифицируемых приложений PA DSS

[1] Полный перечень требований VISA по запрету использования несертифицированных приложений:

[2] За исключением отдельно стоящих POS терминалов (подключенных только напрямую к эквайеру, не хранящих данных платежных карт и обновляемые разработчиком ПО)

[3] В случае необходимости использования специального оборудования или платформ, отсутствующих в лаборатории Информзащиты, Лаборатория организуется Компанией-разработчиком ПО

[4] В сертифицируемой версии приложения указываются поддерживаемые платформы

[5] Глубина анализа зависит от вносимого изменения – в одних случаях для подтверждения факта отсутствия влияния достаточно анализа документации, в других – требуется проведение проверок «на месте». Совет по безопасности платежных карт настоятельно рекомендует привлечение для анализа таких изменений ту же компанию, которая сертифицировала предыдущую версию данного ПО. В противном случае, может потребоваться повторное проведение полного объема сертификационных проверок безопасности приложения.