More Related Content
Similar to Сертификация приложения по стандарту PA-DSS (20)
More from Digital Security (7)
Сертификация приложения по стандарту PA-DSS
- 1. Сертификация приложения
по стандарту PA-DSS
Сергей Шустиков
Digital Security
Руководитель направления менеджмента ИБ, CISA, PCI QSA
- 2. Сертификация приложения по стандарту PA-DSS
Роли исполняют
1. Международные платежные системы
2. Совет PCI SSC
3. Разработчик приложения
4. PA-QSA
5. Продавец приложения или интегратор
6. Клиент
© 2002—2010, Digital Security 2
- 3. Сертификация приложения по стандарту PA-DSS
Международные платежные системы
American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa Inc.
1. Разрабатывают требования по внедрению и использованию сертифицированных по
стандарту PA-DSS приложений, определяют крайние сроки необходимости их внедрения.
2. Определяют штрафы и меры воздействия на участников платежного процесса, нарушающих
установленные требования и сроки.
© 2002—2010, Digital Security 3
- 4. Сертификация приложения по стандарту PA-DSS
Совет PCI SSC
Международный регулятор в сфере обеспечения безопасности индустрии платежных карт,
разработчик стандартов PCI DSS и PA-DSS.
1. Разрабатывает, поддерживает, пересматривает и обновляет требования стандарта PA-DSS.
2. Обучает аудиторов PA-QSA.
3. Осуществляет контроль качества аудиторских Отчетов об Оценке (Report of Validation, ROV).
4. Сохраняет Отчеты об Оценке в собственной библиотеке.
5. Публикует перечень сертифицированных приложений на сайте.
© 2002—2010, Digital Security 4
- 5. Сертификация приложения по стандарту PA-DSS
Разработчик приложения
Разрабатывает приложение, которое хранит, обрабатывает или передает данные о держателях
карт, а затем продает его клиентам, либо интеграторам.
1. Разрабатывает приложение, соответствующее требованиям PA-DSS, использование которого
не помешает клиенту выполнить требования PCI DSS.
2. Выполняет требования стандарта PCI DSS, в случае если сам хранит, обрабатывает, либо
передаёт данные о держателях карт, например при оказании поддержки клиентам.
3. Разрабатывает Руководство по внедрению (Implementation Guide).
4. Обучает клиентов, продавцов и интеграторов безопасной настройке приложения для
обеспечения соответствия требованиям PCI DSS.
5. Проходит процедуру сертификации приложения по стандарту PA-DSS.
© 2002—2010, Digital Security 5
- 6. Сертификация приложения по стандарту PA-DSS
PA-QSA
Обученный и аттестованный Советом PCI SSC аудитор безопасности платежных приложений.
1. Проводит сертификацию приложения по стандарту PA-DSS.
2. Определяет, соответствует ли приложение требованиям стандарта PA-DSS.
3. Подготавливает Отчет об Оценке, описывающий выполнение приложением требований
стандарта PA-DSS.
4. Направляет Отчет об Оценке в Совет PCI SSC.
5. Осуществляет внутренний контроль качества процесса оценки соответствия приложений
требованиям стандарта PA-DSS.
© 2002—2010, Digital Security 6
- 7. Сертификация приложения по стандарту PA-DSS
Продавец приложения или интегратор
Организация, оказывающая услуги клиенту, которая продает, внедряет и осуществляет поддержку
приложения, выпущенного его разработчиком.
1. Внедряет приложение, соответствующее требованиям PA-DSS в информационную
инфраструктуру клиента, соответствующую требованиям PCI DSS.
2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным
разработчиком.
3. Настраивает приложение так, чтобы обеспечить соответствие информационной
инфраструктуры клиента требованиям стандарта PCI DSS.
4. Осуществляет поддержку приложения (решает проблемы, предоставляет обновления,
оказывает удаленную поддержку) в соответствии с Руководством по внедрению и
требованиями стандарта PCI DSS.
© 2002—2010, Digital Security 7
- 8. Сертификация приложения по стандарту PA-DSS
Клиент
Торгово-сервисное предприятие, либо поставщик услуг, приобретающий приложение с целью
хранения, обработки или передачи данных о держателях карт.
1. Внедряет приложение, соответствующее требованиям PA-DSS в свою информационную
инфраструктуру, соответствующую требованиям PCI DSS.
2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным
разработчиком.
3. Настраивает приложение так, чтобы обеспечить соответствие своей информационной
инфраструктуры требованиям стандарта PCI DSS.
4. Обеспечивает соответствие своей информационной инфраструктуры и внедренного в неё
приложения требованиям PCI DSS.
© 2002—2010, Digital Security 8
- 9. Сертификация приложения по стандарту PA-DSS
Как создать приложение, соответствующее PA-DSS?
1. Внедрить внутри компании процессы безопасной разработки и тестирования программного
обеспечения.
2. Разработать приложение, которое безопасно хранит, обрабатывает и передает данные о
держателях карт, и позволяет клиенту соответствовать требованиям PCI DSS.
3. Написать Руководство по внедрению, доступно описывающее процесс развертывания
приложения в информационной инфраструктуре, соответствующей требованиям PCI DSS.
© 2002—2010, Digital Security 9
- 10. Сертификация приложения по стандарту PA-DSS
Что будет делать PA-QSA в процессе сертификации?
1. Проверит наличие и качество внедренных в компании процессов безопасной разработки
программного обеспечения.
2. Оценит безопасность приложения в информационной инфраструктуре своей тестовой
лаборатории.
3. Изучит полноту и качество описания процесса безопасного развертывания приложения,
описанного в Руководстве по внедрению.
4. Подготовит Отчет об Оценке.
5. Направит Отчет об Оценке в Совет PCI SSC с целью включения приложения в публичный
перечень сертифицированных приложений.
© 2002—2010, Digital Security 10
- 11. Сертификация приложения по стандарту PA-DSS
Процесс сертификации
Предварительная
Внедрение Сертификационный
оценка и разработка
изменений аудит
рекомендаций
© 2002—2010, Digital Security 11
- 12. Сертификация приложения по стандарту PA-DSS
Предварительная оценка и разработка рекомендаций
Разработчик:
1. Предоставляет документацию и информацию по процессу разработки и тестирования
программного обеспечения.
2. Предоставляет техническую документацию по приложению, в том числе Руководство по
внедрению.
PA-QSA:
1. Выполняет предварительную оценку соответствия приложения стандарту PA-DSS.
2. Разрабатывает рекомендации по приведению процесса разработки, приложения и
Руководства по внедрению в соответствие требованиям стандарта.
© 2002—2010, Digital Security 12
- 13. Сертификация приложения по стандарту PA-DSS
Внедрение изменений
Разработчик:
1. Вносит изменения в процесс разработки программного обеспечения.
2. Вносит изменения в приложение.
3. Вносит изменения в Руководство по внедрению.
PA-QSA:
1. Осуществляет консультационную поддержку в процессе внесения изменений.
© 2002—2010, Digital Security 13
- 14. Сертификация приложения по стандарту PA-DSS
Сертификационный аудит
Разработчик:
1. Предоставляет документацию и информацию по процессу разработки и тестирования
программного обеспечения.
2. Предоставляет техническую документацию по приложению, в том числе Руководство по
внедрению.
3. Предоставляет приложение для тестирования аудиторами PA-QSA.
PA-QSA:
1. Тестирует безопасность приложения в тестовой лаборатории.
2. Выполняет итоговую оценку соответствия приложения стандарту PA-DSS.
© 2002—2010, Digital Security 14