«Информзащита» сертифицировала ПО TellMe 7™ и его SDLC на соответствие требованиям стандартов PCI SSF

Продукты TellME совместимы с оборудованием различных производителей, включая Cashway, Nautilus Hyosung, OKI, GRG, а также NCR и Diebold/Nixdorf и поддерживают более 60 типов устройств, включая системы с рециркуляцией банкнот.

Клиентами компании являются более 100 банков из России и стран СНГ, включая организации из ТОП-100 России.

Дополнительная информация доступна на: scserv.ru

Задача

В рамках проекта перед специалистами компании «Информзащита» были поставлены следующие задачи:

• Провести GAP-анализ платежного приложения TellME 7 на соответствие PCI Secure Software Standard v1.2.1, сформировать план приведения в соответствие.
• Оценить зрелость процессов жизненного цикла разработки Вендора на соответствие PCI Secure SLC Standard v1.1, определить необходимые изменения в SDLC.
• Совместно с командой разработки TellME 7 подготовить доказательную базу (evidence) для отчетов ROV/AOV (Secure Software) и ROC/AOC (Secure SLC).
• Сопроводить процесс публикации в листингах PCI SSC: List of Validated Payment Software и List of Secure SLC Qualified Vendors.

Решение

Специалистами компании «Информзащита» была проведена масштабная работа по анализу и содействию в приведение TellME 7 и его SDLC в соответствие стандартам фреймворка PCI SSF.

В рамках проекта были реализованы следующие мероприятия:

Этап 1. Предварительный аудит PCI Secure Software Standard

• Выполнен анализ архитектуры, модели угроз, проектной и эксплуатационной документации приложения
• Проведена серия интервью с участниками команды разработки TellME 7
• Выполнено white box тестирование приложения

Этап 2. Предварительный аудит PCI Secure SLC Standard

• Выполнен аудит процессов SDLC: исследованы процессы разработки, тестирования, сборки, релизная политика, процедуры управления уязвимостями и реагирования на инциденты, применяемые контроли безопасности разработки
• Проведена проверка безопасности систем сборки и дистрибуции приложения: сегментация, обновления, hardening, контроль целостности.
• Проведен анализ сопутствующей документации SDLC.

Этап 3. Консультационная поддержка

• Результатами этапов 1 и 2 стала дорожная карта – Action Plan: перечень рекомендаций по приведению в соответствие с приоритизацией; выполнение которой в дальнейшем позволило достичь полного соответствия PCI Secure Software Standard для TellME 7 и PCI Secure SLC Standard для его SDLC.
• Для качественного выполнения мероприятий из Action Plan специалисты «Информзащиты» оказывали консультационное сопровождение.

Этап 4. Итоговый аудит

• Повторно выполнен весь набор тестов Этапа 1 и проверок Этапа 2.
• Сопоставлены результаты «до/после», подтверждено закрытие рисков.
• Подготовлены и отправлены в PCI SSC полные комплекты отчётной документации в требуемом формате.

Этап 5. Согласование отчетной документации с PCI SSC

На данном этапе сопровождена публикация статусов в официальных листингах PCI SSC:

• Secure SLC-Qualified Software Vendor – для АО «СмартКард-Сервис»,
• Validated Payment Software – для TellMe 7™.

Результат

Программное обеспечение устройств самообслуживания TellMe 7™ АО «СмартКард-Сервис» подтвердило соответствие требованиям безопасности и получило статус валидации в листинге PCI SSC.

Жизненный цикл разработки АО «СмартКард-Сервис» признан соответствующим требованиям безопасного процесса (Secure SLC) и опубликован в листинге PCI SSC.