«Креативная разработка» — IT-компания, специализирующаяся на производстве и сопровождении программного обеспечения для ведения электронного бизнеса. На базе продуктов компании создаются интернет-магазины в более чем 100 странах мира.
Потребности бизнеса
Вывод на рынок нового продукта X-Payments 1.0 потребовал от компании выполнения требований стандарта PA-DSS.
X-Payments 1.0 — web-приложение, которое является посредником между покупателями в интернет-магазинах и платежными шлюзами при оплате с помощью платежных карт. Приложение обеспечивает широкий функционал и безопасность при осуществлении транзакций.
Основным мотивом прохождения сертификации стали требования со стороны платежных систем к использованию PA-DSS сертифицированного обеспечения. Кроме того, для компании «Креативная разработка» было важно получить независимую оценку безопасности приложения.
Задачи
В рамках проекта перед компанией «Информзащита» стояли следующие задачи:
- Анализ безопасности приложения и выработка совместно со специалистами компании «Креативная разработка» решений по реализации защитных мер и выполнению требований PA-DSS;
- Проведение процедуры сертификации и согласование ее результатов с регулятором (PCI SSC).
Решение
Летом 2010-го года была проведена предварительная оценка и подготовлен детальный план работ по достижению соответствия требованиям PA-DSS.
По итогам предварительной оценки, в целях сокращения объема работ и повышения уровня доверия, было принято совместное решение — исключить функцию хранения данных платежных карт после прохождения процесса авторизации. Для обеспечения удаленного доступа была выработана и внедрена схема двухфакторной аутентификации пользователей. Незначительные изменения коснулись также системы протоколирования и парольной политики пользователей.
Уже на этапе предварительной оценки был отмечен высокий уровень процесса разработки программного обеспечения в компании «Креативная разработка». В процессе подготовки к сертификации к его обязательным стадиям был добавлен анализ исходного кода, а также формализовано проведение тестирования приложения на предмет безопасности. Данные изменения позволили не только выполнить требования стандарта, но и повысить уровень защищенности программного обеспечения, разрабатываемого компанией.
По завершению всех работ «Информзащита» провела сертификационный аудит, подтвердивший соответствие стандарту.
Результат
18-го мая 2011-го года Совет по безопасности индустрии платежных карт официально объявил об окончании проверки результатов аудита и присвоении программному обеспечению X-Payments 1.0 компании «Креативная разработка» статуса соответствия стандарту PA-DSS.
Юрий Зайцев, заместитель генерального директора по производству компании «Креативная разработка», считает: «Для нашей компании ценность достигнутого результата состоит в том, что у наших клиентов появился недорогой способ привести свои интернет-магазины в соответствие с требованиями международных платежных систем, а так же в том, что мы получили независимое подтверждение качества и безопасности нашего продукта, что в свою очередь влечет укрепление доверия со стороны клиентов, а также получение преимущества перед конкурентами».
Анна Гольдштейн, заместитель директора департамента аудита компании «Информзащита», отмечает: «Сертификация приложений — сложный, но всегда интересный процесс, требующий максимальной двусторонней отдачи. Конструктивное и плодотворное взаимодействие с сотрудниками «Креативной разработки» помогло выработать оптимальные решения для реализации требований стандарта и успешно пройти этап сертификации».
Справка
Payment Application Data Security Standard (Стандарт безопасности данных платежных приложений) — это набор требований к безопасности платежных приложений, обрабатывающих данные держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover. Цель разработки стандарта PA-DSS — повысить защищенность платежных приложений и помочь в выполнении требований PCI DSS. В настоящее время, по требованиям VISA и MasterCard, все банки-эквайеры при подключении новых торгово-сервисных предприятий должны проверять, что они используют только платежные приложения, сертифицированные по стандарту PA-DSS. К 12-му июля 2012-го года уже все ранее подключенные участники платежного процесса должны будут использовать сертифицированные по PA-DSS приложения.