«Креативная разработка» — IT-компания, специализирующаяся на производстве и сопровождении программного обеспечения для ведения электронного бизнеса. На базе продуктов компании создаются интернет-магазины в более чем 100 странах мира.

Потребности бизнеса

Вывод на рынок нового продукта X-Payments 1.0 потребовал от компании выполнения требований стандарта PA-DSS.

X-Payments 1.0 — web-приложение, которое является посредником между покупателями в интернет-магазинах и платежными шлюзами при оплате с помощью платежных карт. Приложение обеспечивает широкий функционал и безопасность при осуществлении транзакций.

Основным мотивом прохождения сертификации стали требования со стороны платежных систем к использованию PA-DSS сертифицированного обеспечения. Кроме того, для компании «Креативная разработка» было важно получить независимую оценку безопасности приложения.

Задачи

В рамках проекта перед компанией «Информзащита» стояли следующие задачи:

  1. Анализ безопасности приложения и выработка совместно со специалистами компании «Креативная разработка» решений по реализации защитных мер и выполнению требований PA-DSS;
  2. Проведение процедуры сертификации и согласование ее результатов с регулятором (PCI SSC).

Решение

Летом 2010-го года была проведена предварительная оценка и подготовлен детальный план работ по достижению соответствия требованиям PA-DSS.

По итогам предварительной оценки, в целях сокращения объема работ и повышения уровня доверия, было принято совместное решение — исключить функцию хранения данных платежных карт после прохождения процесса авторизации. Для обеспечения удаленного доступа была выработана и внедрена схема двухфакторной аутентификации пользователей. Незначительные изменения коснулись также системы протоколирования и парольной политики пользователей.

Уже на этапе предварительной оценки был отмечен высокий уровень процесса разработки программного обеспечения в компании «Креативная разработка». В процессе подготовки к сертификации к его обязательным стадиям был добавлен анализ исходного кода, а также формализовано проведение тестирования приложения на предмет безопасности. Данные изменения позволили не только выполнить требования стандарта, но и повысить уровень защищенности программного обеспечения, разрабатываемого компанией.

По завершению всех работ «Информзащита» провела сертификационный аудит, подтвердивший соответствие стандарту.

Результат

18-го мая 2011-го года Совет по безопасности индустрии платежных карт официально объявил об окончании проверки результатов аудита и присвоении программному обеспечению X-Payments 1.0 компании «Креативная разработка» статуса соответствия стандарту PA-DSS.

Юрий Зайцев, заместитель генерального директора по производству компании «Креативная разработка», считает: «Для нашей компании ценность достигнутого результата состоит в том, что у наших клиентов появился недорогой способ привести свои интернет-магазины в соответствие с требованиями международных платежных систем, а так же в том, что мы получили независимое подтверждение качества и безопасности нашего продукта, что в свою очередь влечет укрепление доверия со стороны клиентов, а также получение преимущества перед конкурентами».

Анна Гольдштейн, заместитель директора департамента аудита компании «Информзащита», отмечает: «Сертификация приложений — сложный, но всегда интересный процесс, требующий максимальной двусторонней отдачи. Конструктивное и плодотворное взаимодействие с сотрудниками «Креативной разработки» помогло выработать оптимальные решения для реализации требований стандарта и успешно пройти этап сертификации».

Справка

Payment Application Data Security Standard (Стандарт безопасности данных платежных приложений) — это набор требований к безопасности платежных приложений, обрабатывающих данные держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover. Цель разработки стандарта PA-DSS — повысить защищенность платежных приложений и помочь в выполнении требований PCI DSS. В настоящее время, по требованиям VISA и MasterCard, все банки-эквайеры при подключении новых торгово-сервисных предприятий должны проверять, что они используют только платежные приложения, сертифицированные по стандарту PA-DSS. К 12-му июля 2012-го года уже все ранее подключенные участники платежного процесса должны будут использовать сертифицированные по PA-DSS приложения.