О стандарте
Стандарт безопасности платежных приложений Payment Application Data Security Standard (PA-DSS), принятый Советом по безопасности индустрии платежных карт (PCI SSC) в 2008 году, направлен на поддержку выполнения требований стандарта PCI DSS.
По требованиям платежных систем VISA и MasterCard все «коробочные» приложения, участвующие в обработке транзакций авторизации или проведении расчетов по платежным картам, должны быть сертифицированы по стандарту PA-DSS аудиторами, имеющими статус PA-QSA.
«Информзащита» – первая в России компания, получившая статус PA-QSA, позволяющий проводить сертификацию платежных приложений на соответствие стандарту PA-DSS.
Эксперты «Информзащиты» с 2009 года провели сертификационные аудиты более 50 приложений: процессинговое программное обеспечение, приложения платежных терминалов и электронной коммерции. Накопленный опыт позволяет определить оптимальную для разработчика схему проведения подготовительных работ и сертификации. Внедрение требований обеспечения безопасной разработки и сопровождения программного обеспечения осуществляется с учетом существующих процессов. Уровень итоговых документов и наработанная практика обеспечивают минимальный срок прохождения обязательной процедуры контроля качества со стороны PCI SSC.
По вопросам стоимости и состава работ можете обращаться на почту pcidss@infosec.ru.
Варианты оказания услуг
Первичная сертификация по требованиям стандарт PA-DSS
В ходе оказания услуги мы проведем оценку соответствия платежного приложения, всем требованиям стандарта PA-DSS.
В соответствии с поставленными задачами мы предлагаем выполнить работы в 3 (три) последовательных этапа:
- первичный анализ выполнения требований стандарта PA-DSS;
- подготовка и проведение сертификации;
- согласование отчета с PCI SSC.
Поддержание соответствия программного обеспечения требованиям стандарта PA-DSS
Изменения, вносимые в сертифицированные PA-DSS платежные приложения, подлежат анализу и в ряде случаев влекут за собой обязательную процедуру повторной сертификации. Объем и отчетные документы проводимой сертификации зависят от типа изменений.
Сертифицированные аудиторы Информзащиты обладают опытом в формировании политик релизов с учетом требований стандарта PA-DSS и реалий вендора, проведения повторной сертификации для всех определенных стандартом PA-DSS типов изменений, согласовании итоговых документов с PCI SSC.
Подход к обеспечению повторных сертификаций формируется на основании пожеланий разработчика и ориентируется на существующую практику выпуска обновлений со стороны разработчика приложений.
В соответствии с поставленными задачами мы предлагаем выполнить работы в 2 (два) последовательных этапа:
- подготовка и проведение сертификации;
- согласование отчета с PCI SSC.
Описание этапов
Первичный анализ выполнения требований стандарта PA-DSS
В результате выполнения работ этапа будет сформирован план достижения соответствия стандарту PA-DSS, реализующий оптимальную для Заказчика схему выполнения требований информационной безопасности. В качестве одного из положений плана, может быть минимизация области сертификационного аудита.
Подготовка и проведение сертификации
В рамках этапа мы оказываем консультационные услуги по реализации требований стандарта. По итогам выполнения работ этапа, в случае выполнения всех положений плана, Заказчик получит подтверждение о соответствии ПО всем требованиям PA-DSS. Основная нагрузка по выполнению работ плана ложится на Заказчика. Консультационная поддержка в рамках его реализации рекомендуется для минимизации затрат и сроков на его реализацию, а также для гарантированного подтверждения соответствия стандарту.
Согласование отчета с PCI SSC
Выполнение данного этапа осуществляется Исполнителем практически без участия Заказчика, на данном этапе производится прохождение обязательной процедуры согласования итогового отчета (Report on Validation) c PCI SSC (Советом по безопасности индустрии платежных карт). По результатам выполнения этапа Заказчик получит от PCI SSC сертификат соответствия на сертифицируемое приложение, дающий право использования данного приложения клиентам в рамках существующих и новых внедрений без штрафных санкций со стороны международных платежных систем.