Сертификация приложения по стандарту PA-DSS

  • 578 views
Uploaded on

Сертификация приложения по стандарту PA-DSS

Сертификация приложения по стандарту PA-DSS

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
578
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
5
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Сертификация приложения по стандарту PA-DSS Сергей Шустиков Digital Security Руководитель направления менеджмента ИБ, CISA, PCI QSA
  • 2. Сертификация приложения по стандарту PA-DSS Роли исполняют 1. Международные платежные системы 2. Совет PCI SSC 3. Разработчик приложения 4. PA-QSA 5. Продавец приложения или интегратор 6. Клиент © 2002—2010, Digital Security 2
  • 3. Сертификация приложения по стандарту PA-DSS Международные платежные системы American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa Inc. 1. Разрабатывают требования по внедрению и использованию сертифицированных по стандарту PA-DSS приложений, определяют крайние сроки необходимости их внедрения. 2. Определяют штрафы и меры воздействия на участников платежного процесса, нарушающих установленные требования и сроки. © 2002—2010, Digital Security 3
  • 4. Сертификация приложения по стандарту PA-DSS Совет PCI SSC Международный регулятор в сфере обеспечения безопасности индустрии платежных карт, разработчик стандартов PCI DSS и PA-DSS. 1. Разрабатывает, поддерживает, пересматривает и обновляет требования стандарта PA-DSS. 2. Обучает аудиторов PA-QSA. 3. Осуществляет контроль качества аудиторских Отчетов об Оценке (Report of Validation, ROV). 4. Сохраняет Отчеты об Оценке в собственной библиотеке. 5. Публикует перечень сертифицированных приложений на сайте. © 2002—2010, Digital Security 4
  • 5. Сертификация приложения по стандарту PA-DSS Разработчик приложения Разрабатывает приложение, которое хранит, обрабатывает или передает данные о держателях карт, а затем продает его клиентам, либо интеграторам. 1. Разрабатывает приложение, соответствующее требованиям PA-DSS, использование которого не помешает клиенту выполнить требования PCI DSS. 2. Выполняет требования стандарта PCI DSS, в случае если сам хранит, обрабатывает, либо передаёт данные о держателях карт, например при оказании поддержки клиентам. 3. Разрабатывает Руководство по внедрению (Implementation Guide). 4. Обучает клиентов, продавцов и интеграторов безопасной настройке приложения для обеспечения соответствия требованиям PCI DSS. 5. Проходит процедуру сертификации приложения по стандарту PA-DSS. © 2002—2010, Digital Security 5
  • 6. Сертификация приложения по стандарту PA-DSS PA-QSA Обученный и аттестованный Советом PCI SSC аудитор безопасности платежных приложений. 1. Проводит сертификацию приложения по стандарту PA-DSS. 2. Определяет, соответствует ли приложение требованиям стандарта PA-DSS. 3. Подготавливает Отчет об Оценке, описывающий выполнение приложением требований стандарта PA-DSS. 4. Направляет Отчет об Оценке в Совет PCI SSC. 5. Осуществляет внутренний контроль качества процесса оценки соответствия приложений требованиям стандарта PA-DSS. © 2002—2010, Digital Security 6
  • 7. Сертификация приложения по стандарту PA-DSS Продавец приложения или интегратор Организация, оказывающая услуги клиенту, которая продает, внедряет и осуществляет поддержку приложения, выпущенного его разработчиком. 1. Внедряет приложение, соответствующее требованиям PA-DSS в информационную инфраструктуру клиента, соответствующую требованиям PCI DSS. 2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным разработчиком. 3. Настраивает приложение так, чтобы обеспечить соответствие информационной инфраструктуры клиента требованиям стандарта PCI DSS. 4. Осуществляет поддержку приложения (решает проблемы, предоставляет обновления, оказывает удаленную поддержку) в соответствии с Руководством по внедрению и требованиями стандарта PCI DSS. © 2002—2010, Digital Security 7
  • 8. Сертификация приложения по стандарту PA-DSS Клиент Торгово-сервисное предприятие, либо поставщик услуг, приобретающий приложение с целью хранения, обработки или передачи данных о держателях карт. 1. Внедряет приложение, соответствующее требованиям PA-DSS в свою информационную инфраструктуру, соответствующую требованиям PCI DSS. 2. Настраивает приложение в соответствии с Руководством по внедрению, предоставленным разработчиком. 3. Настраивает приложение так, чтобы обеспечить соответствие своей информационной инфраструктуры требованиям стандарта PCI DSS. 4. Обеспечивает соответствие своей информационной инфраструктуры и внедренного в неё приложения требованиям PCI DSS. © 2002—2010, Digital Security 8
  • 9. Сертификация приложения по стандарту PA-DSS Как создать приложение, соответствующее PA-DSS? 1. Внедрить внутри компании процессы безопасной разработки и тестирования программного обеспечения. 2. Разработать приложение, которое безопасно хранит, обрабатывает и передает данные о держателях карт, и позволяет клиенту соответствовать требованиям PCI DSS. 3. Написать Руководство по внедрению, доступно описывающее процесс развертывания приложения в информационной инфраструктуре, соответствующей требованиям PCI DSS. © 2002—2010, Digital Security 9
  • 10. Сертификация приложения по стандарту PA-DSS Что будет делать PA-QSA в процессе сертификации? 1. Проверит наличие и качество внедренных в компании процессов безопасной разработки программного обеспечения. 2. Оценит безопасность приложения в информационной инфраструктуре своей тестовой лаборатории. 3. Изучит полноту и качество описания процесса безопасного развертывания приложения, описанного в Руководстве по внедрению. 4. Подготовит Отчет об Оценке. 5. Направит Отчет об Оценке в Совет PCI SSC с целью включения приложения в публичный перечень сертифицированных приложений. © 2002—2010, Digital Security 10
  • 11. Сертификация приложения по стандарту PA-DSS Процесс сертификации Предварительная Внедрение Сертификационный оценка и разработка изменений аудит рекомендаций © 2002—2010, Digital Security 11
  • 12. Сертификация приложения по стандарту PA-DSS Предварительная оценка и разработка рекомендаций Разработчик: 1. Предоставляет документацию и информацию по процессу разработки и тестирования программного обеспечения. 2. Предоставляет техническую документацию по приложению, в том числе Руководство по внедрению. PA-QSA: 1. Выполняет предварительную оценку соответствия приложения стандарту PA-DSS. 2. Разрабатывает рекомендации по приведению процесса разработки, приложения и Руководства по внедрению в соответствие требованиям стандарта. © 2002—2010, Digital Security 12
  • 13. Сертификация приложения по стандарту PA-DSS Внедрение изменений Разработчик: 1. Вносит изменения в процесс разработки программного обеспечения. 2. Вносит изменения в приложение. 3. Вносит изменения в Руководство по внедрению. PA-QSA: 1. Осуществляет консультационную поддержку в процессе внесения изменений. © 2002—2010, Digital Security 13
  • 14. Сертификация приложения по стандарту PA-DSS Сертификационный аудит Разработчик: 1. Предоставляет документацию и информацию по процессу разработки и тестирования программного обеспечения. 2. Предоставляет техническую документацию по приложению, в том числе Руководство по внедрению. 3. Предоставляет приложение для тестирования аудиторами PA-QSA. PA-QSA: 1. Тестирует безопасность приложения в тестовой лаборатории. 2. Выполняет итоговую оценку соответствия приложения стандарту PA-DSS. © 2002—2010, Digital Security 14
  • 15. Сертификация приложения по стандарту PA-DSS Вопросы? Ответы на PCIDSS.RU! © 2002—2010, Digital Security 15