Достижение соответствия требованиям стандарта PA-DSS приложения X-Payments 1.0 компании «Креативная разработка» |
Дата окончания проекта
18 мая 2011 года
Заказчик
Компания «Креативная разработка» — IT-компания, производящая и сопровождающая программное обеспечение для ведения электронного бизнеса. На базе продуктов компании созданы десятки тысяч интернет-магазинов в более чем 100 странах мира.
Потребности бизнеса
Вывод на рынок нового продукта X-Payments 1.0 потребовал от компании выполнения требований стандарта PA-DSS.
X-Payments 1.0 — web-приложение, являющееся посредником между покупателями интернет-магазинов и платежными шлюзами при оплате с использованием платежных карт. Приложение обеспечивает широкий функционал и безопасность при осуществлении транзакций.
Основным мотивом прохождения сертификации стали требования со стороны платежных систем к использованию PA-DSS сертифицированного обеспечения. Кроме того, для компании «Креативная разработка» было важно получить независимую оценку безопасности приложения.
Задачи
В рамках проекта перед компанией «Информзащита» ставились следующие задачи:
- Анализ безопасности приложения и выработка совместно со специалистами компании «Креативная разработка» решений по реализации защитных мер и выполнению требований PA-DSS;
- Проведение процедуры сертификации и согласование ее результатов с регулятором (PCI SSC).
Решение
Летом 2010 года была проведена предварительная оценка и подготовлен детальный план работ, целью которого было достижение соответствия требованиям PA-DSS.
По результатам предварительной оценки, в целях сокращения объема работ и повышения уровня доверия, было принято совместное решение — исключить функцию хранения данных карт после прохождения процесса авторизации. Для обеспечения удаленного доступа была выработана и внедрена схема двухфакторной аутентификации пользователей. Также, незначительные изменения коснулись системы протоколирования и парольной политики пользователей.
В ходе предварительной оценки сразу был отмечен высокий уровень процесса разработки программного обеспечения в компании «Креативная разработка». В ходе подготовки к сертификации к его обязательным стадиям был добавлен анализ исходного кода, а также формализовано проведение тестирования приложения на предмет безопасности. Данные изменения позволили не только выполнить требования стандарта, но и повысить уровень защищенности разрабатываемого компанией программного обеспечения.
По завершению всех работ компанией «Информзащита» был проведен сертификационный аудит, подтвердивший соответствие стандарту.
Результат
18 мая 2011 года Совет по безопасности индустрии платежных карт официально объявил об окончании проверки результатов аудита и о присвоении программному обеспечению X-Payments 1.0 компании «Креативная разработка» статуса соответствия стандарту PA-DSS.
По словам Юрия Зайцева, заместителя генерального директора по производству компании «Креативная разработка»: «Для нашей компании ценность достигнутого результата состоит в том, что у наших клиентов появился недорогой способ привести свои интернет-магазины в соответствие с требованиями международных платежных систем, а так же в том, что мы получили независимое подтверждение качества и безопасности нашего продукта, что в свою очередь влечет укрепление доверия со стороны клиентов, а также получение преимущества перед конкурентами».
Заместитель директора департамента аудита компании «Информзащита» Анна Гольдштейн отметила: «Сертификация приложений — сложный, но всегда интересный процесс, требующий максимальной двусторонней отдачи. Конструктивное и плодотворное взаимодействие с сотрудниками «Креативной разработки» помогло выработать оптимальные решения для реализации требований стандарта и успешно пройти этап сертификации»
Справка
Payment Application Data Security Standard (Стандарт безопасности данных платежных приложений) — это набор требований к безопасности платежных приложений, обрабатывающих данные держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover. Цель разработки стандарта PA-DSS — повысить защищенность платежных приложений и помочь в выполнении требований PCI DSS. В настоящее время, по требованиям VISA и MasterCard, все банки-эквайеры при подключении новых торгово-сервисных предприятий должны проверять, что они используют только платежные приложения, сертифицированные по стандарту PA-DSS. К 12 июля 2012 года уже все ранее подключенные участники платежного процесса должны будут использовать сертифицированные по PA-DSS приложения.