Сертификация по PA-DSS

Сертификационный аудит платежного приложения на соответствие требованиям стандарта безопасности платежных приложений PA-DSS (Payment Application Data Security Standard) свидетельствует о безопасной обработке им карточных данных и возможности внедрения приложения в информационную инфраструктуру, сертифицированную по стандарту PCI DSS.

Digital Security обладает статусом PA-QSA, позволяющим проводить сертификацию по требованиям PA-DSS, а также собственным исследовательским центром, который имеет огромный практический опыт в области анализа безопасности приложений и широкое международное признание.

Этапы сертификации

1. Предварительный анализ приложения

  • Анализ документации, интервью с сотрудниками Заказчика
  • Анализ процесса разработки ПО
  • Предварительная оценка соответствия требованиям PA-DSS
  • Анализ защищенности приложения по методике анализа защищенности бизнес-приложений исследовательского центра Digital Security
  • Разработка рекомендаций по приведению приложения в соответствие PA-DSS

2. Консультации по приведению приложения в соответствие PA-DSS

  • Консультирование сотрудников в процессе приведения приложения в соответствие требованиям стандарта PA-DSS
  • Консультирование сотрудников в процессе разработки Руководства по внедрению приложения
  • Обучение разработчиков платежных приложений методам безопасной разработки программного обеспечения
  • Разработка руководства по безопасному внедрению (Implementation Guide) в соответствии с требованиями PA-DSS
  • Разработка нормативной документации в соответствии с требованиями PA-DSS
  • Контрольные проверки в ходе в процессе приведения приложения в соответствие требованиям стандарта PA-DSS

3. Сертификационный аудит приложения на соответствие требованиям PA-DSS

  • Сертификационный анализ Руководства по внедрению приложения (Implementation Guide)
  • Сертификационный анализ процесса разработки ПО
  • Сертификационный анализ безопасности приложения в испытательной лаборатории
  • Сертификационная оценка соответствия требованиям PA-DSS
  • Подготовка Отчета о Соответствии

Применяемые методики

В ходе выполнения работ по сертификации платежного приложения по требованиям стандарта PA-DSS применяются следующие методики:

  • Методика аудита PA-DSS Requirement and Security Assessment Procedures, разработанная и утвержденная Советом PCI SSC. Процедура аудита строго регламентирована и подробно описывает действия аудитора, проводящего оценку безопасности платежного приложения и процесса его разработки. Итоговая оценка делается на основании анализа документации, интервьюирования сотрудников и исследования безопасности приложения в условиях тестовой лаборатории.
  • Методика анализа защищенности бизнес-приложений исследовательского центра Digital Security. Данная методика основана на многолетнем опыте компании по анализу защищённости различных по функциональности и сложности приложений, таких как ERP-системы, автоматизированные банковские системы, web-приложения, системы управления базами данных и прочих. Подход к анализу основан на общепризнанных методах исследования приложений, описанных в таких документах, как: PCI DSS Requirements and Security Assessment Procedures, OWASP Testing Guide, WASC Threat Classification, PA-DSS Requirement and Security Assessment Procedures и доработан с учётом практического опыта, полученного в ходе выполнения различных проектов в рамках исследовательской деятельности.

Результаты сертификации

В результате сертификационного аудита разработчику платежного приложения предоставляется отчетная документация, необходимая для того, чтобы включить приложение в список на официальном сайте Совета PCI SSC.

Включение платежного приложения в глобальный список сертифицированных по стандарту PA-DSS продуктов является неоспоримым конкурентным преимуществом для его разработчика и открывает ему дорогу на рынок прикладных систем для процессинговых центров, платежных шлюзов, магазинов и других торгово-сервисных предприятий, включая e-commerce. Получение сертификата соответствия требованиям стандарта PA-DSS стало особенно актуальным после опубликования международными платежными системами Visa и MasterCard крайнего срока необходимости перехода всех участников индустрии платежных карт на использование только сертифицированных приложений, а именно – 1 июля 2012 года.

Оставить заявку

Оставить заявку