О стандарте

Стандарт безопасности платежных приложений Payment Application Data Security Standard (PA-DSS), принятый Советом по безопасности индустрии платежных карт (PCI SSC) в 2008 году, направлен на поддержку выполнения требований стандарта PCI DSS.

По требованиям платежных систем VISA и MasterCard все «коробочные» приложения, участвующие в обработке транзакций авторизации или проведении расчетов по платежным картам, должны быть сертифицированы по стандарту PA-DSS аудиторами, имеющими статус PA-QSA.

«Информзащита» – первая в России компания, получившая статус PA-QSA, позволяющий проводить сертификацию платежных приложений на соответствие стандарту PA-DSS.

Эксперты «Информзащиты» с 2009 года провели сертификационные аудиты более 50 приложений: процессинговое программное обеспечение, приложения платежных терминалов и электронной коммерции. Накопленный опыт позволяет определить оптимальную для разработчика схему проведения подготовительных работ и сертификации. Внедрение требований обеспечения безопасной разработки и сопровождения программного обеспечения осуществляется с учетом существующих процессов. Уровень итоговых документов и наработанная практика обеспечивают минимальный срок прохождения обязательной процедуры контроля качества со стороны PCI SSC.

По вопросам стоимости и состава работ можете обращаться на почту pcidss@infosec.ru.

Варианты оказания услуг

Первичная сертификация по требованиям стандарт PA-DSS

В ходе оказания услуги мы проведем оценку соответствия платежного приложения, всем требованиям стандарта PA-DSS.

В соответствии с поставленными задачами мы предлагаем выполнить работы в 3 (три) последовательных этапа:

  • первичный анализ выполнения требований стандарта PA-DSS;
  • подготовка и проведение сертификации;
  • согласование отчета с PCI SSC.

Поддержание соответствия программного обеспечения требованиям стандарта PA-DSS

Изменения, вносимые в сертифицированные PA-DSS платежные приложения, подлежат анализу и в ряде случаев влекут за собой обязательную процедуру повторной сертификации. Объем и отчетные документы проводимой сертификации зависят от типа изменений.

Сертифицированные аудиторы Информзащиты обладают опытом в формировании политик релизов с учетом требований стандарта PA-DSS и реалий вендора, проведения повторной сертификации для всех определенных стандартом PA-DSS типов изменений, согласовании итоговых документов с PCI SSC.

Подход к обеспечению повторных сертификаций формируется на основании пожеланий разработчика и ориентируется на существующую практику выпуска обновлений со стороны разработчика приложений.

В соответствии с поставленными задачами мы предлагаем выполнить работы в 2 (два) последовательных этапа:

  • подготовка и проведение сертификации;
  • согласование отчета с PCI SSC.

Описание этапов

Первичный анализ выполнения требований стандарта PA-DSS

В результате выполнения работ этапа будет сформирован план достижения соответствия стандарту PA-DSS, реализующий оптимальную для Заказчика схему выполнения требований информационной безопасности. В качестве одного из положений плана, может быть минимизация области сертификационного аудита.

Подготовка и проведение сертификации

В рамках этапа мы оказываем консультационные услуги по реализации требований стандарта. По итогам выполнения работ этапа, в случае выполнения всех положений плана, Заказчик получит подтверждение о соответствии ПО всем требованиям PA-DSS.  Основная нагрузка по выполнению работ плана ложится на Заказчика. Консультационная поддержка в рамках его реализации рекомендуется для минимизации затрат и сроков на его реализацию, а также для гарантированного подтверждения соответствия стандарту.

Согласование отчета с PCI SSC

Выполнение данного этапа осуществляется Исполнителем практически без участия Заказчика, на данном этапе производится прохождение обязательной процедуры согласования итогового отчета (Report on Validation) c PCI SSC (Советом по безопасности индустрии платежных карт). По результатам выполнения этапа Заказчик получит от PCI SSC сертификат соответствия на сертифицируемое приложение, дающий право использования данного приложения клиентам в рамках существующих и новых внедрений без штрафных санкций со стороны международных платежных систем.

Свяжитесь с экспертами «Информзащиты».

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!