О стандартах фреймворка
Стандарт безопасности платежных приложений Payment Application Data Security Standard (PA-DSS) утратил силу в октябре 2022 года, сертификация нового платёжного ПО на соответствие стандарту PA-DSS завершилась в июне 2021 года. В качестве замены PA-DSS Советом по безопасности индустрии платежных карт PCI SSC были приняты стандарты семейства PCI Software Security Framework (PCI SSF):
- PCI Secure Software Requirements and Assessment Procedures (PCI Secure Software Standard);
- PCI Secure Software Lifecycle Requirements and Assessment Procedures (PCI Secure SLC Standard).
PCI Secure Software Standard определяет набор требований безопасности и связанных с ними процедур тестирования, выполнение которых гарантирует, что платёжное программное обеспечение (далее – ПО) адекватно защищает целостность и конфиденциальность платежных транзакций и данных.
Требования PCI Secure Software Standard необходимо выполнять в отношении платёжного ПО при его продаже, распространении и/или лицензировании такого ПО третьими лицами, если такое ПО:
- участвует или непосредственно обеспечивает и/или сопровождает платёжные транзакции, которые хранят, обрабатывают или передают данные счета в открытом виде;
- продается более, чем одной организации;
- предназначено для использования на устройствах PTS POI, одобренных PCI SSC.
PCI Secure SLC Standard определяет безопасные методы управления жизненным циклом платёжного ПО, позволяющие гарантировать вендору такого ПО, что оно спроектировано и разработано для защиты платежных транзакций и данных, минимизации уязвимостей и защиты от атак. Сертификация по требованиям PCI Secure SLC Standard позволяет вендору платёжного ПО:
- получить статус Secure SLC-Qualified Vendor публикацию на официальном сайте PCI SSC;
- проводить частичные или дельта-оценки платёжного ПО самостоятельно, т.е. без привлечения внешнего аудитора;
- освободиться от уплаты сборов за административные и изменения низкого уровня влияния.
«Информзащита» обладает статусом SSF Assessor Company.
Эксперты «Информзащиты» с 2009 года провели более 70 сертификационных аудитов PA-DSS для более чем 25 приложений: процессинговое программное обеспечение, приложения платежных терминалов и электронной коммерции. Накопленный опыт позволяет определить оптимальную для разработчика схему проведения подготовительных работ и сертификации. Внедрение требований обеспечения безопасной разработки и сопровождения программного обеспечения осуществляется с учетом существующих процессов. Уровень итоговых документов и наработанная практика обеспечивают минимальный срок прохождения обязательной процедуры контроля качества со стороны PCI SSC.
По вопросам стоимости и состава работ можете обращаться на почту: pcidss@infosec.ru.
Варианты оказания услуг
Первичная проверка по требованиям стандартов PCI Software Security Framework
В ходе оказания услуги мы проведем оценку соответствия платежного приложения и/или его жизненного цикла всем требованиям стандарта PCI Secure Software Standard и/или PCI Secure SLC Standard.
В соответствии с поставленными задачами мы предлагаем выполнить работы в 3 (три) последовательных этапа:
- первичный анализ выполнения требований стандарта PCI Secure Software Standard/Secure SLC Standard;
- проведение сертификационного аудита;
- согласование отчета с PCI SSC.
Поддержание соответствия требованиям стандартов PCI Software Security Framework
Изменения, вносимые в сертифицированные платежные приложения и/или их жизненный цикл, подлежат анализу и в ряде случаев влекут за собой обязательную процедуру повторной сертификации. Объем и отчетные документы проводимой сертификации зависят от типа изменений.
Сертифицированные аудиторы Информзащиты обладают релевантным опытом в формировании политик релизов с учетом требований стандартов PCI Software Security Framework и реалий вендора, проведения повторной сертификации для всех определенных стандартами PCI Software Security Framework типов изменений, согласовании итоговых документов с PCI SSC.
Подход к обеспечению повторной проверки приложений формируется на основании пожеланий вендора и ориентируется на существующую практику выпуска обновлений со стороны вендора приложений.
В соответствии с поставленными задачами мы предлагаем выполнить работы в 2 (два) последовательных этапа:
- проведение сертификационного аудита;
- согласование отчета с PCI SSC.
Описание этапов
Первичный анализ выполнения требованиям стандартов PCI Software Security Framework
В результате выполнения работ этапа будет сформирован план достижения соответствия стандарту PCI Secure Software Standard и/или PCI Secure SLC Standard, реализующий оптимальную для Заказчика схему выполнения требований информационной безопасности. В качестве одного из положений плана может быть представлена минимизация области аудита.
Подготовка и проведение сертификационного аудита
В рамках этапа мы оказываем консультационные услуги по реализации требований стандарта. По итогам выполнения работ этапа, в случае выполнения всех положений плана, Заказчик получит подтверждение о соответствии ПО всем требованиям PCI Secure Software Standard и/или PCI Secure SLC Standard. Основная нагрузка по выполнению работ плана ложится на Заказчика. Консультационная поддержка в рамках его реализации рекомендуется для минимизации затрат и сроков на его реализацию, а также для гарантированного подтверждения соответствия стандарту.
Согласование отчета с PCI SSC
Выполнение данного этапа осуществляется Исполнителем практически без участия Заказчика, на данном этапе производится прохождение обязательной процедуры согласования c PCI SSC (Советом по безопасности индустрии платежных карт) итогового отчета оценки – Report on Validation и/или Report on Compliance. По результатам выполнения этапа, Заказчик получит от PCI SSC статус соответствия требованиям PCI Secure Software Standard и/или PCI Secure SLC Standard, а также:
- включение платёжного ПО Заказчика в публикуемый PCI SSC на официальном сайте список сертифицированного ПО, и/или
- включение Заказчика в публикуемый PCI SSC на официальном сайте список Secure SLC-Qualified Vendor.