SlideShare a Scribd company logo

Сертификация приложения по стандарту PA-DSS

D
Digital Security

Сертификация приложения по стандарту PA-DSS

Technology
1 of 15
Download to read offline
Сертификация приложения по стандарту PA-DSS Сергей Шустиков Digital Security Руководитель направления менеджмента ИБ, CISA, PCI QSA
Сертификация приложения по стандарту PA-DSS Роли исполняют 1. Международные платежные системы 2. Совет PCI SSC 3. Разработчик приложения 4. PA-QSA 5. Продавец приложения или интегратор 6. Клиент © 2002—2010, Digital Security 2
Сертификация приложения по стандарту PA-DSS Международные платежные системы American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa Inc. 1. Разрабатывают требования по внедрению и использованию сертифицированных по стандарту PA-DSS приложений, определяют крайние сроки необходимости их внедрения. 2. Определяют штрафы и меры воздействия на участников платежного процесса, нарушающих установленные требования и сроки. © 2002—2010, Digital Security 3
Сертификация приложения по стандарту PA-DSS Совет PCI SSC Международный регулятор в сфере обеспечения безопасности индустрии платежных карт, разработчик стандартов PCI DSS и PA-DSS. 1. Разрабатывает, поддерживает, пересматривает и обновляет требования стандарта PA-DSS. 2. Обучает аудиторов PA-QSA. 3. Осуществляет контроль качества аудиторских Отчетов об Оценке (Report of Validation, ROV). 4. Сохраняет Отчеты об Оценке в собственной библиотеке. 5. Публикует перечень сертифицированных приложений на сайте. © 2002—2010, Digital Security 4
Сертификация приложения по стандарту PA-DSS Разработчик приложения Разрабатывает приложение, которое хранит, обрабатывает или передает данные о держателях карт, а затем продает его клиентам, либо интеграторам. 1. Разрабатывает приложение, соответствующее требованиям PA-DSS, использование которого не помешает клиенту выполнить требования PCI DSS. 2. Выполняет требования стандарта PCI DSS, в случае если сам хранит, обрабатывает, либо передаёт данные о держателях карт, например при оказании поддержки клиентам. 3. Разрабатывает Руководство по внедрению (Implementation Guide). 4. Обучает клиентов, продавцов и интеграторов безопасной настройке приложения для обеспечения соответствия требованиям PCI DSS. 5. Проходит процедуру сертификации приложения по стандарту PA-DSS. © 2002—2010, Digital Security 5
Сертификация приложения по стандарту PA-DSS PA-QSA Обученный и аттестованный Советом PCI SSC аудитор безопасности платежных приложений. 1. Проводит сертификацию приложения по стандарту PA-DSS. 2. Определяет, соответствует ли приложение требованиям стандарта PA-DSS. 3. Подготавливает Отчет об Оценке, описывающий выполнение приложением требований стандарта PA-DSS. 4. Направляет Отчет об Оценке в Совет PCI SSC. 5. Осуществляет внутренний контроль качества процесса оценки соответствия приложений требованиям стандарта PA-DSS. © 2002—2010, Digital Security 6
Сертификация приложения по стандарту PA-DSS Продавец приложения или интегратор Организация, оказывающая услуги клиенту, которая продает, внедряет и осуществляет поддержку приложения, выпущенного его разработчиком. 1. Внедряет приложение, соответствующее требованиям PA-DSS в информационную инфраструктуру клиента, соответствующую требованиям PCI DSS. 2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным разработчиком. 3. Настраивает приложение так, чтобы обеспечить соответствие информационной инфраструктуры клиента требованиям стандарта PCI DSS. 4. Осуществляет поддержку приложения (решает проблемы, предоставляет обновления, оказывает удаленную поддержку) в соответствии с Руководством по внедрению и требованиями стандарта PCI DSS. © 2002—2010, Digital Security 7
Сертификация приложения по стандарту PA-DSS Клиент Торгово-сервисное предприятие, либо поставщик услуг, приобретающий приложение с целью хранения, обработки или передачи данных о держателях карт. 1. Внедряет приложение, соответствующее требованиям PA-DSS в свою информационную инфраструктуру, соответствующую требованиям PCI DSS. 2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным разработчиком. 3. Настраивает приложение так, чтобы обеспечить соответствие своей информационной инфраструктуры требованиям стандарта PCI DSS. 4. Обеспечивает соответствие своей информационной инфраструктуры и внедренного в неё приложения требованиям PCI DSS. © 2002—2010, Digital Security 8
Сертификация приложения по стандарту PA-DSS Как создать приложение, соответствующее PA-DSS? 1. Внедрить внутри компании процессы безопасной разработки и тестирования программного обеспечения. 2. Разработать приложение, которое безопасно хранит, обрабатывает и передает данные о держателях карт, и позволяет клиенту соответствовать требованиям PCI DSS. 3. Написать Руководство по внедрению, доступно описывающее процесс развертывания приложения в информационной инфраструктуре, соответствующей требованиям PCI DSS. © 2002—2010, Digital Security 9
Сертификация приложения по стандарту PA-DSS Что будет делать PA-QSA в процессе сертификации? 1. Проверит наличие и качество внедренных в компании процессов безопасной разработки программного обеспечения. 2. Оценит безопасность приложения в информационной инфраструктуре своей тестовой лаборатории. 3. Изучит полноту и качество описания процесса безопасного развертывания приложения, описанного в Руководстве по внедрению. 4. Подготовит Отчет об Оценке. 5. Направит Отчет об Оценке в Совет PCI SSC с целью включения приложения в публичный перечень сертифицированных приложений. © 2002—2010, Digital Security 10
Сертификация приложения по стандарту PA-DSS Процесс сертификации Предварительная Внедрение Сертификационный оценка и разработка изменений аудит рекомендаций © 2002—2010, Digital Security 11
Сертификация приложения по стандарту PA-DSS Предварительная оценка и разработка рекомендаций Разработчик: 1. Предоставляет документацию и информацию по процессу разработки и тестирования программного обеспечения. 2. Предоставляет техническую документацию по приложению, в том числе Руководство по внедрению. PA-QSA: 1. Выполняет предварительную оценку соответствия приложения стандарту PA-DSS. 2. Разрабатывает рекомендации по приведению процесса разработки, приложения и Руководства по внедрению в соответствие требованиям стандарта. © 2002—2010, Digital Security 12
Сертификация приложения по стандарту PA-DSS Внедрение изменений Разработчик: 1. Вносит изменения в процесс разработки программного обеспечения. 2. Вносит изменения в приложение. 3. Вносит изменения в Руководство по внедрению. PA-QSA: 1. Осуществляет консультационную поддержку в процессе внесения изменений. © 2002—2010, Digital Security 13
Сертификация приложения по стандарту PA-DSS Сертификационный аудит Разработчик: 1. Предоставляет документацию и информацию по процессу разработки и тестирования программного обеспечения. 2. Предоставляет техническую документацию по приложению, в том числе Руководство по внедрению. 3. Предоставляет приложение для тестирования аудиторами PA-QSA. PA-QSA: 1. Тестирует безопасность приложения в тестовой лаборатории. 2. Выполняет итоговую оценку соответствия приложения стандарту PA-DSS. © 2002—2010, Digital Security 14
Сертификация приложения по стандарту PA-DSS Вопросы? Ответы на PCIDSS.RU! © 2002—2010, Digital Security 15

Recommended

Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
Digital Security
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dss
Informzaschita
 
Аренда приложений SaaS
Аренда приложений SaaSАренда приложений SaaS
Аренда приложений SaaS
КРОК
 
Национальная служба взысканий Внедрение системы записи и аналитики речи
Национальная служба взысканий Внедрение системы записи и аналитики речиНациональная служба взысканий Внедрение системы записи и аналитики речи
Национальная служба взысканий Внедрение системы записи и аналитики речи
КРОК
 
Портальные решения
Портальные решенияПортальные решения
Портальные решения
КРОК
 
Решение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройРешение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктурой
КРОК
 
Внедрение бизнес приложений
Внедрение бизнес приложенийВнедрение бизнес приложений
Внедрение бизнес приложений
КРОК
 
Инфраструктурные программные решения
Инфраструктурные программные решенияИнфраструктурные программные решения
Инфраструктурные программные решения
КРОК
 

Recommended

Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
Digital Security
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dss
Informzaschita
 
Аренда приложений SaaS
Аренда приложений SaaSАренда приложений SaaS
Аренда приложений SaaS
КРОК
 
Национальная служба взысканий Внедрение системы записи и аналитики речи
Национальная служба взысканий Внедрение системы записи и аналитики речиНациональная служба взысканий Внедрение системы записи и аналитики речи
Национальная служба взысканий Внедрение системы записи и аналитики речи
КРОК
 
Портальные решения
Портальные решенияПортальные решения
Портальные решения
КРОК
 
Решение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройРешение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктурой
КРОК
 
Внедрение бизнес приложений
Внедрение бизнес приложенийВнедрение бизнес приложений
Внедрение бизнес приложений
КРОК
 
Инфраструктурные программные решения
Инфраструктурные программные решенияИнфраструктурные программные решения
Инфраструктурные программные решения
КРОК
 
07.0 Звук, видео, свет
07.0 Звук, видео, свет07.0 Звук, видео, свет
07.0 Звук, видео, свет
КРОК
 
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийУслуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложений
КРОК
 
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами
КРОК
 
Решения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессамиРешения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессами
КРОК
 
Каталог облачных услуг КРОК
Каталог облачных услуг КРОККаталог облачных услуг КРОК
Каталог облачных услуг КРОК
КРОК
 
Решения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийРешения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операций
КРОК
 
Мобильные решения КРОК
Мобильные решения КРОКМобильные решения КРОК
Мобильные решения КРОК
КРОК
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
Digital Security
 
Эффективный контакт центр
Эффективный контакт центрЭффективный контакт центр
Эффективный контакт центр
КРОК
 
ОТП Банк Внедрение системы автоматического исходящего обзвона
ОТП Банк Внедрение системы автоматического исходящего обзвонаОТП Банк Внедрение системы автоматического исходящего обзвона
ОТП Банк Внедрение системы автоматического исходящего обзвона
КРОК
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
Andrew Gaiko
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
КРОК
 
VISION Russian Brochure
VISION Russian BrochureVISION Russian Brochure
VISION Russian Brochure
Prokhor Proshkin
 
Эволюция портфолио технических сервисов Cisco
Эволюция портфолио технических сервисов CiscoЭволюция портфолио технических сервисов Cisco
Эволюция портфолио технических сервисов Cisco
Cisco Russia
 
Решения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасностиРешения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасности
КРОК
 
F5 и Cisco: комплексное решение для сети центра обработки данных
F5 и Cisco: комплексное решение для сети центра обработки данныхF5 и Cisco: комплексное решение для сети центра обработки данных
F5 и Cisco: комплексное решение для сети центра обработки данных
Dmitry Tikhovich
 
Oracle минеев
Oracle минеевOracle минеев
Oracle минеев
Expolink
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Expolink
 
Услуги КРОК в области резервного копирования
Услуги КРОК в области резервного копированияУслуги КРОК в области резервного копирования
Услуги КРОК в области резервного копирования
КРОК
 
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSS
Digital Security
 
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation Guide
Digital Security
 
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБО
Digital Security
 

More Related Content

What's hot

Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийУслуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложений
КРОК
 
Решения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийРешения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операций
КРОК
 
Мобильные решения КРОК
Мобильные решения КРОКМобильные решения КРОК
Мобильные решения КРОК
КРОК
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
Digital Security
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
Andrew Gaiko
 
Решения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасностиРешения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасности
КРОК
 
F5 и Cisco: комплексное решение для сети центра обработки данных
F5 и Cisco: комплексное решение для сети центра обработки данныхF5 и Cisco: комплексное решение для сети центра обработки данных
F5 и Cisco: комплексное решение для сети центра обработки данных
Dmitry Tikhovich
 
Oracle минеев
Oracle минеевOracle минеев
Oracle минеев
Expolink
 

What's hot (19)

07.0 Звук, видео, свет
07.0 Звук, видео, свет07.0 Звук, видео, свет
07.0 Звук, видео, свет
 
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийУслуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложений
 
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами
 
Решения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессамиРешения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессами
 
Каталог облачных услуг КРОК
Каталог облачных услуг КРОККаталог облачных услуг КРОК
Каталог облачных услуг КРОК
 
Решения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийРешения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операций
 
Мобильные решения КРОК
Мобильные решения КРОКМобильные решения КРОК
Мобильные решения КРОК
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
 
Эффективный контакт центр
Эффективный контакт центрЭффективный контакт центр
Эффективный контакт центр
 
ОТП Банк Внедрение системы автоматического исходящего обзвона
ОТП Банк Внедрение системы автоматического исходящего обзвонаОТП Банк Внедрение системы автоматического исходящего обзвона
ОТП Банк Внедрение системы автоматического исходящего обзвона
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
VISION Russian Brochure
VISION Russian BrochureVISION Russian Brochure
VISION Russian Brochure
 
Эволюция портфолио технических сервисов Cisco
Эволюция портфолио технических сервисов CiscoЭволюция портфолио технических сервисов Cisco
Эволюция портфолио технических сервисов Cisco
 
Решения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасностиРешения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасности
 
F5 и Cisco: комплексное решение для сети центра обработки данных
F5 и Cisco: комплексное решение для сети центра обработки данныхF5 и Cisco: комплексное решение для сети центра обработки данных
F5 и Cisco: комплексное решение для сети центра обработки данных
 
Oracle минеев
Oracle минеевOracle минеев
Oracle минеев
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
 
Услуги КРОК в области резервного копирования
Услуги КРОК в области резервного копированияУслуги КРОК в области резервного копирования
Услуги КРОК в области резервного копирования
 

Viewers also liked

Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSS
Digital Security
 
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБО
Digital Security
 
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS Certification
Digital Security
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
Digital Security
 
PA DSS solution
PA DSS solutionPA DSS solution
PA DSS solution
rory obr
 

Viewers also liked (7)

Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSS
 
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation Guide
 
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБО
 
Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSS
 
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS Certification
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
 
PA DSS solution
PA DSS solutionPA DSS solution
PA DSS solution
 

Similar to Сертификация приложения по стандарту PA-DSS

Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
Digital Security
 
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейОпыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
kvolkov
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znat
Informzaschita
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
Informzaschita
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
RISSPA_SPb
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Alex Babenko
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Maxim Avdyunin
 
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниямиIFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
International Federation of Accountants
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
Alex Babenko
 

Similar to Сертификация приложения по стандарту PA-DSS (20)

Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
 
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейОпыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znat
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни»
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
 
Iso25999
Iso25999Iso25999
Iso25999
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
 
Ixia продукты и решения
Ixia продукты и решенияIxia продукты и решения
Ixia продукты и решения
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
Сертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюСертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностью
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014
 
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниямиIFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
 
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
 

More from Digital Security

Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSS
Digital Security
 
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложений
Digital Security
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
Digital Security
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакой
Digital Security
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложений
Digital Security
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
Digital Security
 
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
Digital Security
 

More from Digital Security (7)

Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSS
 
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложений
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакой
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложений
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
 
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
 

Сертификация приложения по стандарту PA-DSS

  • 1. Сертификация приложения по стандарту PA-DSS Сергей Шустиков Digital Security Руководитель направления менеджмента ИБ, CISA, PCI QSA
  • 2. Сертификация приложения по стандарту PA-DSS Роли исполняют 1. Международные платежные системы 2. Совет PCI SSC 3. Разработчик приложения 4. PA-QSA 5. Продавец приложения или интегратор 6. Клиент © 2002—2010, Digital Security 2
  • 3. Сертификация приложения по стандарту PA-DSS Международные платежные системы American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa Inc. 1. Разрабатывают требования по внедрению и использованию сертифицированных по стандарту PA-DSS приложений, определяют крайние сроки необходимости их внедрения. 2. Определяют штрафы и меры воздействия на участников платежного процесса, нарушающих установленные требования и сроки. © 2002—2010, Digital Security 3
  • 4. Сертификация приложения по стандарту PA-DSS Совет PCI SSC Международный регулятор в сфере обеспечения безопасности индустрии платежных карт, разработчик стандартов PCI DSS и PA-DSS. 1. Разрабатывает, поддерживает, пересматривает и обновляет требования стандарта PA-DSS. 2. Обучает аудиторов PA-QSA. 3. Осуществляет контроль качества аудиторских Отчетов об Оценке (Report of Validation, ROV). 4. Сохраняет Отчеты об Оценке в собственной библиотеке. 5. Публикует перечень сертифицированных приложений на сайте. © 2002—2010, Digital Security 4
  • 5. Сертификация приложения по стандарту PA-DSS Разработчик приложения Разрабатывает приложение, которое хранит, обрабатывает или передает данные о держателях карт, а затем продает его клиентам, либо интеграторам. 1. Разрабатывает приложение, соответствующее требованиям PA-DSS, использование которого не помешает клиенту выполнить требования PCI DSS. 2. Выполняет требования стандарта PCI DSS, в случае если сам хранит, обрабатывает, либо передаёт данные о держателях карт, например при оказании поддержки клиентам. 3. Разрабатывает Руководство по внедрению (Implementation Guide). 4. Обучает клиентов, продавцов и интеграторов безопасной настройке приложения для обеспечения соответствия требованиям PCI DSS. 5. Проходит процедуру сертификации приложения по стандарту PA-DSS. © 2002—2010, Digital Security 5
  • 6. Сертификация приложения по стандарту PA-DSS PA-QSA Обученный и аттестованный Советом PCI SSC аудитор безопасности платежных приложений. 1. Проводит сертификацию приложения по стандарту PA-DSS. 2. Определяет, соответствует ли приложение требованиям стандарта PA-DSS. 3. Подготавливает Отчет об Оценке, описывающий выполнение приложением требований стандарта PA-DSS. 4. Направляет Отчет об Оценке в Совет PCI SSC. 5. Осуществляет внутренний контроль качества процесса оценки соответствия приложений требованиям стандарта PA-DSS. © 2002—2010, Digital Security 6
  • 7. Сертификация приложения по стандарту PA-DSS Продавец приложения или интегратор Организация, оказывающая услуги клиенту, которая продает, внедряет и осуществляет поддержку приложения, выпущенного его разработчиком. 1. Внедряет приложение, соответствующее требованиям PA-DSS в информационную инфраструктуру клиента, соответствующую требованиям PCI DSS. 2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным разработчиком. 3. Настраивает приложение так, чтобы обеспечить соответствие информационной инфраструктуры клиента требованиям стандарта PCI DSS. 4. Осуществляет поддержку приложения (решает проблемы, предоставляет обновления, оказывает удаленную поддержку) в соответствии с Руководством по внедрению и требованиями стандарта PCI DSS. © 2002—2010, Digital Security 7
  • 8. Сертификация приложения по стандарту PA-DSS Клиент Торгово-сервисное предприятие, либо поставщик услуг, приобретающий приложение с целью хранения, обработки или передачи данных о держателях карт. 1. Внедряет приложение, соответствующее требованиям PA-DSS в свою информационную инфраструктуру, соответствующую требованиям PCI DSS. 2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным разработчиком. 3. Настраивает приложение так, чтобы обеспечить соответствие своей информационной инфраструктуры требованиям стандарта PCI DSS. 4. Обеспечивает соответствие своей информационной инфраструктуры и внедренного в неё приложения требованиям PCI DSS. © 2002—2010, Digital Security 8
  • 9. Сертификация приложения по стандарту PA-DSS Как создать приложение, соответствующее PA-DSS? 1. Внедрить внутри компании процессы безопасной разработки и тестирования программного обеспечения. 2. Разработать приложение, которое безопасно хранит, обрабатывает и передает данные о держателях карт, и позволяет клиенту соответствовать требованиям PCI DSS. 3. Написать Руководство по внедрению, доступно описывающее процесс развертывания приложения в информационной инфраструктуре, соответствующей требованиям PCI DSS. © 2002—2010, Digital Security 9
  • 10. Сертификация приложения по стандарту PA-DSS Что будет делать PA-QSA в процессе сертификации? 1. Проверит наличие и качество внедренных в компании процессов безопасной разработки программного обеспечения. 2. Оценит безопасность приложения в информационной инфраструктуре своей тестовой лаборатории. 3. Изучит полноту и качество описания процесса безопасного развертывания приложения, описанного в Руководстве по внедрению. 4. Подготовит Отчет об Оценке. 5. Направит Отчет об Оценке в Совет PCI SSC с целью включения приложения в публичный перечень сертифицированных приложений. © 2002—2010, Digital Security 10
  • 11. Сертификация приложения по стандарту PA-DSS Процесс сертификации Предварительная Внедрение Сертификационный оценка и разработка изменений аудит рекомендаций © 2002—2010, Digital Security 11
  • 12. Сертификация приложения по стандарту PA-DSS Предварительная оценка и разработка рекомендаций Разработчик: 1. Предоставляет документацию и информацию по процессу разработки и тестирования программного обеспечения. 2. Предоставляет техническую документацию по приложению, в том числе Руководство по внедрению. PA-QSA: 1. Выполняет предварительную оценку соответствия приложения стандарту PA-DSS. 2. Разрабатывает рекомендации по приведению процесса разработки, приложения и Руководства по внедрению в соответствие требованиям стандарта. © 2002—2010, Digital Security 12
  • 13. Сертификация приложения по стандарту PA-DSS Внедрение изменений Разработчик: 1. Вносит изменения в процесс разработки программного обеспечения. 2. Вносит изменения в приложение. 3. Вносит изменения в Руководство по внедрению. PA-QSA: 1. Осуществляет консультационную поддержку в процессе внесения изменений. © 2002—2010, Digital Security 13
  • 14. Сертификация приложения по стандарту PA-DSS Сертификационный аудит Разработчик: 1. Предоставляет документацию и информацию по процессу разработки и тестирования программного обеспечения. 2. Предоставляет техническую документацию по приложению, в том числе Руководство по внедрению. 3. Предоставляет приложение для тестирования аудиторами PA-QSA. PA-QSA: 1. Тестирует безопасность приложения в тестовой лаборатории. 2. Выполняет итоговую оценку соответствия приложения стандарту PA-DSS. © 2002—2010, Digital Security 14
  • 15. Сертификация приложения по стандарту PA-DSS Вопросы? Ответы на PCIDSS.RU! © 2002—2010, Digital Security 15