Your SlideShare is downloading. ×
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Сертификация приложения по стандарту PA-DSS

601

Published on

Сертификация приложения по стандарту PA-DSS

Сертификация приложения по стандарту PA-DSS

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
601
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Сертификация приложения по стандарту PA-DSS Сергей Шустиков Digital Security Руководитель направления менеджмента ИБ, CISA, PCI QSA
  • 2. Сертификация приложения по стандарту PA-DSS Роли исполняют 1. Международные платежные системы 2. Совет PCI SSC 3. Разработчик приложения 4. PA-QSA 5. Продавец приложения или интегратор 6. Клиент © 2002—2010, Digital Security 2
  • 3. Сертификация приложения по стандарту PA-DSS Международные платежные системы American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa Inc. 1. Разрабатывают требования по внедрению и использованию сертифицированных по стандарту PA-DSS приложений, определяют крайние сроки необходимости их внедрения. 2. Определяют штрафы и меры воздействия на участников платежного процесса, нарушающих установленные требования и сроки. © 2002—2010, Digital Security 3
  • 4. Сертификация приложения по стандарту PA-DSS Совет PCI SSC Международный регулятор в сфере обеспечения безопасности индустрии платежных карт, разработчик стандартов PCI DSS и PA-DSS. 1. Разрабатывает, поддерживает, пересматривает и обновляет требования стандарта PA-DSS. 2. Обучает аудиторов PA-QSA. 3. Осуществляет контроль качества аудиторских Отчетов об Оценке (Report of Validation, ROV). 4. Сохраняет Отчеты об Оценке в собственной библиотеке. 5. Публикует перечень сертифицированных приложений на сайте. © 2002—2010, Digital Security 4
  • 5. Сертификация приложения по стандарту PA-DSS Разработчик приложения Разрабатывает приложение, которое хранит, обрабатывает или передает данные о держателях карт, а затем продает его клиентам, либо интеграторам. 1. Разрабатывает приложение, соответствующее требованиям PA-DSS, использование которого не помешает клиенту выполнить требования PCI DSS. 2. Выполняет требования стандарта PCI DSS, в случае если сам хранит, обрабатывает, либо передаёт данные о держателях карт, например при оказании поддержки клиентам. 3. Разрабатывает Руководство по внедрению (Implementation Guide). 4. Обучает клиентов, продавцов и интеграторов безопасной настройке приложения для обеспечения соответствия требованиям PCI DSS. 5. Проходит процедуру сертификации приложения по стандарту PA-DSS. © 2002—2010, Digital Security 5
  • 6. Сертификация приложения по стандарту PA-DSS PA-QSA Обученный и аттестованный Советом PCI SSC аудитор безопасности платежных приложений. 1. Проводит сертификацию приложения по стандарту PA-DSS. 2. Определяет, соответствует ли приложение требованиям стандарта PA-DSS. 3. Подготавливает Отчет об Оценке, описывающий выполнение приложением требований стандарта PA-DSS. 4. Направляет Отчет об Оценке в Совет PCI SSC. 5. Осуществляет внутренний контроль качества процесса оценки соответствия приложений требованиям стандарта PA-DSS. © 2002—2010, Digital Security 6
  • 7. Сертификация приложения по стандарту PA-DSS Продавец приложения или интегратор Организация, оказывающая услуги клиенту, которая продает, внедряет и осуществляет поддержку приложения, выпущенного его разработчиком. 1. Внедряет приложение, соответствующее требованиям PA-DSS в информационную инфраструктуру клиента, соответствующую требованиям PCI DSS. 2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным разработчиком. 3. Настраивает приложение так, чтобы обеспечить соответствие информационной инфраструктуры клиента требованиям стандарта PCI DSS. 4. Осуществляет поддержку приложения (решает проблемы, предоставляет обновления, оказывает удаленную поддержку) в соответствии с Руководством по внедрению и требованиями стандарта PCI DSS. © 2002—2010, Digital Security 7
  • 8. Сертификация приложения по стандарту PA-DSS Клиент Торгово-сервисное предприятие, либо поставщик услуг, приобретающий приложение с целью хранения, обработки или передачи данных о держателях карт. 1. Внедряет приложение, соответствующее требованиям PA-DSS в свою информационную инфраструктуру, соответствующую требованиям PCI DSS. 2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным разработчиком. 3. Настраивает приложение так, чтобы обеспечить соответствие своей информационной инфраструктуры требованиям стандарта PCI DSS. 4. Обеспечивает соответствие своей информационной инфраструктуры и внедренного в неё приложения требованиям PCI DSS. © 2002—2010, Digital Security 8
  • 9. Сертификация приложения по стандарту PA-DSS Как создать приложение, соответствующее PA-DSS? 1. Внедрить внутри компании процессы безопасной разработки и тестирования программного обеспечения. 2. Разработать приложение, которое безопасно хранит, обрабатывает и передает данные о держателях карт, и позволяет клиенту соответствовать требованиям PCI DSS. 3. Написать Руководство по внедрению, доступно описывающее процесс развертывания приложения в информационной инфраструктуре, соответствующей требованиям PCI DSS. © 2002—2010, Digital Security 9
  • 10. Сертификация приложения по стандарту PA-DSS Что будет делать PA-QSA в процессе сертификации? 1. Проверит наличие и качество внедренных в компании процессов безопасной разработки программного обеспечения. 2. Оценит безопасность приложения в информационной инфраструктуре своей тестовой лаборатории. 3. Изучит полноту и качество описания процесса безопасного развертывания приложения, описанного в Руководстве по внедрению. 4. Подготовит Отчет об Оценке. 5. Направит Отчет об Оценке в Совет PCI SSC с целью включения приложения в публичный перечень сертифицированных приложений. © 2002—2010, Digital Security 10
  • 11. Сертификация приложения по стандарту PA-DSS Процесс сертификации Предварительная Внедрение Сертификационный оценка и разработка изменений аудит рекомендаций © 2002—2010, Digital Security 11
  • 12. Сертификация приложения по стандарту PA-DSS Предварительная оценка и разработка рекомендаций Разработчик: 1. Предоставляет документацию и информацию по процессу разработки и тестирования программного обеспечения. 2. Предоставляет техническую документацию по приложению, в том числе Руководство по внедрению. PA-QSA: 1. Выполняет предварительную оценку соответствия приложения стандарту PA-DSS. 2. Разрабатывает рекомендации по приведению процесса разработки, приложения и Руководства по внедрению в соответствие требованиям стандарта. © 2002—2010, Digital Security 12
  • 13. Сертификация приложения по стандарту PA-DSS Внедрение изменений Разработчик: 1. Вносит изменения в процесс разработки программного обеспечения. 2. Вносит изменения в приложение. 3. Вносит изменения в Руководство по внедрению. PA-QSA: 1. Осуществляет консультационную поддержку в процессе внесения изменений. © 2002—2010, Digital Security 13
  • 14. Сертификация приложения по стандарту PA-DSS Сертификационный аудит Разработчик: 1. Предоставляет документацию и информацию по процессу разработки и тестирования программного обеспечения. 2. Предоставляет техническую документацию по приложению, в том числе Руководство по внедрению. 3. Предоставляет приложение для тестирования аудиторами PA-QSA. PA-QSA: 1. Тестирует безопасность приложения в тестовой лаборатории. 2. Выполняет итоговую оценку соответствия приложения стандарту PA-DSS. © 2002—2010, Digital Security 14
  • 15. Сертификация приложения по стандарту PA-DSS Вопросы? Ответы на PCIDSS.RU! © 2002—2010, Digital Security 15

×