Сертификация приложения по стандарту PA-DSS

Сертификация приложения

по стандарту PA-DSS

Сергей ШустиковDigital SecurityРуководитель направления менеджмента ИБ, CISA, PCI QSA

© 2002—2010, Digital Security

Роли исполняют

2

1. Международные платежные системы

2. Совет PCI SSC

3. Разработчик приложения

4. PA-QSA

5. Продавец приложения или интегратор

6. Клиент

Сертификация приложения по стандарту PA-DSS


Международные платежные системы

3

American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa Inc.

1. Разрабатывают требования по внедрению и использованию сертифицированных по

стандарту PA-DSS приложений, определяют крайние сроки необходимости их внедрения.

2. Определяют штрафы и меры воздействия на участников платежного процесса, нарушающих

установленные требования и сроки.



Совет PCI SSC

4

Международный регулятор в сфере обеспечения безопасности индустрии платежных карт,

разработчик стандартов PCI DSS и PA-DSS.

1. Разрабатывает, поддерживает, пересматривает и обновляет требования стандарта PA-DSS.

2. Обучает аудиторов PA-QSA.

3. Осуществляет контроль качества аудиторских Отчетов об Оценке (Report of Validation, ROV).

4. Сохраняет Отчеты об Оценке в собственной библиотеке.

5. Публикует перечень сертифицированных приложений на сайте.



Разработчик приложения

5

Разрабатывает приложение, которое хранит, обрабатывает или передает данные о держателях

карт, а затем продает его клиентам, либо интеграторам.

1. Разрабатывает приложение, соответствующее требованиям PA-DSS, использование которого

не помешает клиенту выполнить требования PCI DSS.

2. Выполняет требования стандарта PCI DSS, в случае если сам хранит, обрабатывает, либо

передаёт данные о держателях карт, например при оказании поддержки клиентам.

3. Разрабатывает Руководство по внедрению (Implementation Guide).

4. Обучает клиентов, продавцов и интеграторов безопасной настройке приложения для

обеспечения соответствия требованиям PCI DSS.

5. Проходит процедуру сертификации приложения по стандарту PA-DSS.



PA-QSA

6

Обученный и аттестованный Советом PCI SSC аудитор безопасности платежных приложений.

1. Проводит сертификацию приложения по стандарту PA-DSS.

2. Определяет, соответствует ли приложение требованиям стандарта PA-DSS.

3. Подготавливает Отчет об Оценке, описывающий выполнение приложением требований

стандарта PA-DSS.

4. Направляет Отчет об Оценке в Совет PCI SSC.

5. Осуществляет внутренний контроль качества процесса оценки соответствия приложений

требованиям стандарта PA-DSS.



Продавец приложения или интегратор

7

Организация, оказывающая услуги клиенту, которая продает, внедряет и осуществляет поддержку

приложения, выпущенного его разработчиком.

1. Внедряет приложение, соответствующее требованиям PA-DSS в информационную

инфраструктуру клиента, соответствующую требованиям PCI DSS.

2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным

разработчиком.

3. Настраивает приложение так, чтобы обеспечить соответствие информационной

инфраструктуры клиента требованиям стандарта PCI DSS.

4. Осуществляет поддержку приложения (решает проблемы, предоставляет обновления,

оказывает удаленную поддержку) в соответствии с Руководством по внедрению и

требованиями стандарта PCI DSS.



Клиент

8

Торгово-сервисное предприятие, либо поставщик услуг, приобретающий приложение с целью

хранения, обработки или передачи данных о держателях карт.

1. Внедряет приложение, соответствующее требованиям PA-DSS в свою информационную

инфраструктуру, соответствующую требованиям PCI DSS.

2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным

разработчиком.

3. Настраивает приложение так, чтобы обеспечить соответствие своей информационной

инфраструктуры требованиям стандарта PCI DSS.

4. Обеспечивает соответствие своей информационной инфраструктуры и внедренного в неё

приложения требованиям PCI DSS.



Как создать приложение, соответствующее PA-DSS?

9

1. Внедрить внутри компании процессы безопасной разработки и тестирования программного

обеспечения.

2. Разработать приложение, которое безопасно хранит, обрабатывает и передает данные о

держателях карт, и позволяет клиенту соответствовать требованиям PCI DSS.

3. Написать Руководство по внедрению, доступно описывающее процесс развертывания

приложения в информационной инфраструктуре, соответствующей требованиям PCI DSS.



Что будет делать PA-QSA в процессе сертификации?

10

1. Проверит наличие и качество внедренных в компании процессов безопасной разработки

программного обеспечения.

2. Оценит безопасность приложения в информационной инфраструктуре своей тестовой

лаборатории.

3. Изучит полноту и качество описания процесса безопасного развертывания приложения,

описанного в Руководстве по внедрению.

4. Подготовит Отчет об Оценке.

5. Направит Отчет об Оценке в Совет PCI SSC с целью включения приложения в публичный

перечень сертифицированных приложений.



Процесс сертификации

11


Предварительная оценка и разработка

рекомендаций

Внедрение изменений

Сертификационный аудит


Предварительная оценка и разработка рекомендаций

12

Разработчик:

1. Предоставляет документацию и информацию по процессу разработки и тестирования


2. Предоставляет техническую документацию по приложению, в том числе Руководство по

внедрению.

PA-QSA:

1. Выполняет предварительную оценку соответствия приложения стандарту PA-DSS.

2. Разрабатывает рекомендации по приведению процесса разработки, приложения и

Руководства по внедрению в соответствие требованиям стандарта.



Внедрение изменений

13


1. Вносит изменения в процесс разработки программного обеспечения.

2. Вносит изменения в приложение.

3. Вносит изменения в Руководство по внедрению.

PA-QSA:

1. Осуществляет консультационную поддержку в процессе внесения изменений.



Сертификационный аудит

14


1. Предоставляет документацию и информацию по процессу разработки и тестирования


2. Предоставляет техническую документацию по приложению, в том числе Руководство по

внедрению.

3. Предоставляет приложение для тестирования аудиторами PA-QSA.

PA-QSA:

1. Тестирует безопасность приложения в тестовой лаборатории.

2. Выполняет итоговую оценку соответствия приложения стандарту PA-DSS.



Вопросы?

15

Ответы на PCIDSS.RU!


Technology

Сертификация приложения по стандарту PA-DSS