Upload
digital-security
View
830
Download
2
Embed Size (px)
DESCRIPTION
Сертификация приложения по стандарту PA-DSS
Citation preview
Сертификация приложения
по стандарту PA-DSS
Сергей ШустиковDigital SecurityРуководитель направления менеджмента ИБ, CISA, PCI QSA
© 2002—2010, Digital Security
Роли исполняют
2
1. Международные платежные системы
2. Совет PCI SSC
3. Разработчик приложения
4. PA-QSA
5. Продавец приложения или интегратор
6. Клиент
Сертификация приложения по стандарту PA-DSS
© 2002—2010, Digital Security
Международные платежные системы
3
American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa Inc.
1. Разрабатывают требования по внедрению и использованию сертифицированных по
стандарту PA-DSS приложений, определяют крайние сроки необходимости их внедрения.
2. Определяют штрафы и меры воздействия на участников платежного процесса, нарушающих
установленные требования и сроки.
Сертификация приложения по стандарту PA-DSS
© 2002—2010, Digital Security
Совет PCI SSC
4
Международный регулятор в сфере обеспечения безопасности индустрии платежных карт,
разработчик стандартов PCI DSS и PA-DSS.
1. Разрабатывает, поддерживает, пересматривает и обновляет требования стандарта PA-DSS.
2. Обучает аудиторов PA-QSA.
3. Осуществляет контроль качества аудиторских Отчетов об Оценке (Report of Validation, ROV).
4. Сохраняет Отчеты об Оценке в собственной библиотеке.
5. Публикует перечень сертифицированных приложений на сайте.
Сертификация приложения по стандарту PA-DSS
© 2002—2010, Digital Security
Разработчик приложения
5
Разрабатывает приложение, которое хранит, обрабатывает или передает данные о держателях
карт, а затем продает его клиентам, либо интеграторам.
1. Разрабатывает приложение, соответствующее требованиям PA-DSS, использование которого
не помешает клиенту выполнить требования PCI DSS.
2. Выполняет требования стандарта PCI DSS, в случае если сам хранит, обрабатывает, либо
передаёт данные о держателях карт, например при оказании поддержки клиентам.
3. Разрабатывает Руководство по внедрению (Implementation Guide).
4. Обучает клиентов, продавцов и интеграторов безопасной настройке приложения для
обеспечения соответствия требованиям PCI DSS.
5. Проходит процедуру сертификации приложения по стандарту PA-DSS.
Сертификация приложения по стандарту PA-DSS
© 2002—2010, Digital Security
PA-QSA
6
Обученный и аттестованный Советом PCI SSC аудитор безопасности платежных приложений.
1. Проводит сертификацию приложения по стандарту PA-DSS.
2. Определяет, соответствует ли приложение требованиям стандарта PA-DSS.
3. Подготавливает Отчет об Оценке, описывающий выполнение приложением требований
стандарта PA-DSS.
4. Направляет Отчет об Оценке в Совет PCI SSC.
5. Осуществляет внутренний контроль качества процесса оценки соответствия приложений
требованиям стандарта PA-DSS.
Сертификация приложения по стандарту PA-DSS
© 2002—2010, Digital Security
Продавец приложения или интегратор
7
Организация, оказывающая услуги клиенту, которая продает, внедряет и осуществляет поддержку
приложения, выпущенного его разработчиком.
1. Внедряет приложение, соответствующее требованиям PA-DSS в информационную
инфраструктуру клиента, соответствующую требованиям PCI DSS.
2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным
разработчиком.
3. Настраивает приложение так, чтобы обеспечить соответствие информационной
инфраструктуры клиента требованиям стандарта PCI DSS.
4. Осуществляет поддержку приложения (решает проблемы, предоставляет обновления,
оказывает удаленную поддержку) в соответствии с Руководством по внедрению и
требованиями стандарта PCI DSS.
Сертификация приложения по стандарту PA-DSS
© 2002—2010, Digital Security
Клиент
8
Торгово-сервисное предприятие, либо поставщик услуг, приобретающий приложение с целью
хранения, обработки или передачи данных о держателях карт.
1. Внедряет приложение, соответствующее требованиям PA-DSS в свою информационную
инфраструктуру, соответствующую требованиям PCI DSS.
2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным
разработчиком.
3. Настраивает приложение так, чтобы обеспечить соответствие своей информационной
инфраструктуры требованиям стандарта PCI DSS.
4. Обеспечивает соответствие своей информационной инфраструктуры и внедренного в неё
приложения требованиям PCI DSS.
Сертификация приложения по стандарту PA-DSS
© 2002—2010, Digital Security
Как создать приложение, соответствующее PA-DSS?
9
1. Внедрить внутри компании процессы безопасной разработки и тестирования программного
обеспечения.
2. Разработать приложение, которое безопасно хранит, обрабатывает и передает данные о
держателях карт, и позволяет клиенту соответствовать требованиям PCI DSS.
3. Написать Руководство по внедрению, доступно описывающее процесс развертывания
приложения в информационной инфраструктуре, соответствующей требованиям PCI DSS.
Сертификация приложения по стандарту PA-DSS
© 2002—2010, Digital Security
Что будет делать PA-QSA в процессе сертификации?
10
1. Проверит наличие и качество внедренных в компании процессов безопасной разработки
программного обеспечения.
2. Оценит безопасность приложения в информационной инфраструктуре своей тестовой
лаборатории.
3. Изучит полноту и качество описания процесса безопасного развертывания приложения,
описанного в Руководстве по внедрению.
4. Подготовит Отчет об Оценке.
5. Направит Отчет об Оценке в Совет PCI SSC с целью включения приложения в публичный
перечень сертифицированных приложений.
Сертификация приложения по стандарту PA-DSS
© 2002—2010, Digital Security
Процесс сертификации
11
Сертификация приложения по стандарту PA-DSS
Предварительная оценка и разработка
рекомендаций
Внедрение изменений
Сертификационный аудит
© 2002—2010, Digital Security
Предварительная оценка и разработка рекомендаций
12
Разработчик:
1. Предоставляет документацию и информацию по процессу разработки и тестирования
программного обеспечения.
2. Предоставляет техническую документацию по приложению, в том числе Руководство по
внедрению.
PA-QSA:
1. Выполняет предварительную оценку соответствия приложения стандарту PA-DSS.
2. Разрабатывает рекомендации по приведению процесса разработки, приложения и
Руководства по внедрению в соответствие требованиям стандарта.
Сертификация приложения по стандарту PA-DSS
© 2002—2010, Digital Security
Внедрение изменений
13
Разработчик:
1. Вносит изменения в процесс разработки программного обеспечения.
2. Вносит изменения в приложение.
3. Вносит изменения в Руководство по внедрению.
PA-QSA:
1. Осуществляет консультационную поддержку в процессе внесения изменений.
Сертификация приложения по стандарту PA-DSS
© 2002—2010, Digital Security
Сертификационный аудит
14
Разработчик:
1. Предоставляет документацию и информацию по процессу разработки и тестирования
программного обеспечения.
2. Предоставляет техническую документацию по приложению, в том числе Руководство по
внедрению.
3. Предоставляет приложение для тестирования аудиторами PA-QSA.
PA-QSA:
1. Тестирует безопасность приложения в тестовой лаборатории.
2. Выполняет итоговую оценку соответствия приложения стандарту PA-DSS.
Сертификация приложения по стандарту PA-DSS
© 2002—2010, Digital Security
Вопросы?
15
Ответы на PCIDSS.RU!
Сертификация приложения по стандарту PA-DSS