Сертификация программного обеспечения по требованиям стандарта PA-DSS
Стандарт безопасности платежных приложений Payment Application Data Security Standard (PA-DSS), принятый Советом по безопасности индустрии платежных карт (PCI SSC) в 2008 году, направлен на поддержку выполнения требований стандарта PCI DSS.
По требованиям платежных систем VISA и MasterCard все «коробочные» приложения, участвующие в обработке транзакций авторизации или проведении расчетов по платежным картам, должны быть сертифицированы по стандарту PA-DSS аудиторами, имеющими статус PA-QSA.
«Информзащита» – первая в России компания, получившая статус PA-QSA, позволяющий проводит сертификацию платежных приложений на соответствие стандарту PA-DSS.
Эксперты «Информзащиты» с 2009 года провели сертификационные аудиты более 25 приложений: процессинговое программное обеспечение, приложения платежных терминалов и электронной коммерции. Накопленный опыт позволяет определить оптимальную для разработчика схему проведения подготовительных работ и сертификации. Внедрение требований обеспечения безопасной разработки и сопровождения программного обеспечения осуществляется с учетом существующих процессов. Уровень итоговых документов и наработанная практика обеспечивают минимальный срок прохождения обязательной процедуры контроля качества со стороны PCI SSC.
Поддержание соответствия программного обеспечения требованиям стандарта PA-DSS
Изменения, вносимые в сертифицированные PA-DSS платежные приложения, подлежат анализу и в ряде случаев влекут за собой обязательную процедуру повторной сертификации. Объем и отчетные документы проводимой сертификации зависят от типа изменений.
Сертифицированные аудиторы Информзащиты обладают опытом в формировании политик релизов с учетом требований стандарта PA-DSS и реалий вендора, проведения повторной сертификации для всех определенных стандартом PA-DSS типов изменений, согласовании итоговых документов с PCI SSC.
Подход к обеспечению повторных сертификаций формируется на основании пожеланий разработчика и ориентируется на существующую практику выпуска обновлений со стороны разработчика приложений.