|
Сертификационный аудит платежного приложения на соответствие требованиям стандарта безопасности платежных приложений PA-DSS (Payment Application Data Security Standard) свидетельствует о безопасной обработке им карточных данных и возможности внедрения приложения в информационную инфраструктуру, сертифицированную по стандарту PCI DSS. Digital Security обладает статусом PA-QSA, позволяющим проводить сертификацию по требованиям PA-DSS, а также собственным исследовательским центром, который имеет огромный практический опыт в области анализа безопасности приложений и широкое международное признание.
Этапы сертификации
1. Предварительный анализ приложения
- Анализ документации, интервью с сотрудниками Заказчика
- Анализ процесса разработки ПО
- Предварительная оценка соответствия требованиям PA-DSS
- Анализ защищенности приложения по методике анализа защищенности бизнес-приложений исследовательского центра Digital Security Research Group
- Разработка рекомендаций по приведению приложения в соответствие PA-DSS
2. Консультации по приведению приложения в соответствие PA-DSS
- Консультирование сотрудников в процессе приведения приложения в соответствие требованиям стандарта PA-DSS
- Консультирование сотрудников в процессе разработки Руководства по внедрению приложения
- Обучение разработчиков платежных приложений методам безопасной разработки программного обеспечения
- Разработка руководства по безопасному внедрению (Implementation Guide) в соответствии с требованиями PA-DSS
- Разработка нормативной документации в соответствии с требованиями PA-DSS
- Контрольные проверки в ходе в процессе приведения приложения в соответствие требованиям стандарта PA-DSS
3. Сертификационный аудит приложения на соответствие требованиям PA-DSS
- Сертификационный анализ Руководства по внедрению приложения (Implementation Guide)
- Сертификационный анализ процесса разработки ПО
- Сертификационный анализ безопасности приложения в испытательной лаборатории
- Сертификационная оценка соответствия требованиям PA-DSS
- Подготовка Отчета о Соответствии
Применяемые методики
В ходе выполнения работ по сертификации платежного приложения по требованиям стандарта PA-DSS применяются следующие методики:
- Методика аудита PA-DSS Requirement and Security Assessment Procedures, разработанная и утвержденная Советом PCI SSC. Процедура аудита строго регламентирована и подробно описывает действия аудитора, проводящего оценку безопасности платежного приложения и процесса его разработки. Итоговая оценка делается на основании анализа документации, интервьюирования сотрудников и исследования безопасности приложения в условиях тестовой лаборатории.
- Методика анализа защищенности бизнес-приложений исследовательского центра Digital Security Research Group. Данная методика основана на многолетнем опыте компании по анализу защищённости различных по функциональности и сложности приложений, таких как ERP-системы, автоматизированные банковские системы, web-приложения, системы управления базами данных и прочих. Подход к анализу основан на общепризнанных методах исследования приложений, описанных в таких документах, как: PCI DSS Requirements and Security Assessment Procedures, OWASP Testing Guide, WASC Threat Classification, PA-DSS Requirement and Security Assessment Procedures и доработан с учётом практического опыта, полученного в ходе выполнения различных проектов в рамках исследовательской деятельности DSecRG.
Результаты сертификации
В результате сертификационного аудита разработчику платежного приложения предоставляется отчетная документация, необходимая для того, чтобы включить приложение в листинг на официальном сайте Совета PCI SSC.
Включение платежного приложения в глобальный список сертифицированных по стандарту PA-DSS продуктов является неоспоримым конкурентным преимуществом для его разработчика и открывает ему дорогу на рынок прикладных систем для процессинговых центров, платежных шлюзов, магазинов и других торгово-сервисных предприятий, включая e-commerce. Получение сертификата соответствия требованиям стандарта PA-DSS стало особенно актуальным после опубликования международными платежными системами Visa и MasterCard крайнего срока необходимости перехода всех участников индустрии платежных карт на использование только сертифицированных приложений, а именно – 1 июля 2012 года.
наверх
|
