RSTQB Presentation about ISTQB Agile Tester during TMPA-2014:
Порядок сертификации программного обеспечения по требованиям стандарта P A D S S
1. Гольдштейн Анна, PA QSA
Заместитель директора департамента аудита
Порядок сертификации по
требованиям стандарта PA-DSS
“Стандарт PA-DSS: безопасность платежных
приложений”
Семинар компании «Информзащита»
г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky
3. Предварительная оценка
соответствия
• Предварительная оценка выполнения требований
• Выбор решений по устранению недостатков
• Анализ трудоемкости и взаимосвязи необходимых
работ
План достижения соответствия PA-DSS
5. Реализация плана. Роль QSA
• Консультации по PCI DSS и PA-DSS
• Проверка дорабатываемой/разрабатываемой
документации
• Контроль хода работ плана
6. Сертификационные проверки
• Подтверждение выполнения требований ИБ в рамках процессов
разработки и поддержки приложений
• Лабораторные проверки требований PCI DSS
– выполнение запрета хранения критичных данных
– правила хранения номеров карт
– порядок аутентификации и управления учетными записями
– протоколирование событий и др.
• Анализ совместимости с остальными требованиями стандарта PCI
DSS
– отсутствие конфликтов со средствами защиты
– возможность размещения в инфраструктуре с межсетевыми экранами и т. п.
• Лабораторное тестирование безопасности приложений
– уязвимости протоколов/интерфейсов
– web-уязвимости и др.
7. Сертификационные проверки.
Особенности
• Проверки начинаются «с чистого листа»
• Аудитор следует инструкциям руководства по
выполнению PCI DSS (Implementation Guide)
• Лабораторная среда контролируется аудитором
• Проверки повторяются для каждой сертифицируемой
платформы приложения (ОС, СУБД)
8. Утверждение результатов PCI SSC
QSA:
Отчет
QSA:
Отчет
Вендор:
Release
agreement
Вендор:
Release
agreement
PCI SSC:
Acceptance
Letter
PCI SSC:
Acceptance
Letter
PCI SSC:
Invoice Letter
PCI SSC:
Invoice Letter
QSA:
Сертификат
QSA:
Сертификат
PCI SSC:
Публикация на
сайте
PCI SSC:
Публикация на
сайте
Вендор:
Оплата
публикации
Вендор:
Оплата
публикации
PCI SSC:
Контроль
качества
PCI SSC:
Контроль
качества
9. Поддержка сертификации
Есть план по выпуску релизов ?
• «ДА»:
– Анализ планируемых изменений
– Оценка бюджета на поддержку
• «НЕТ»:
– Договор годовой поддержки включает “minor”-изменения
– “major”-изменения выполняются по доп. соглашению
10. • (495) 980 23 45
• goldanna@infosec.ru
Гольдштейн Анна
Заместитель директора департамента
аудита
ВОПРОСЫ ?
“Стандарт PA-DSS: безопасность
платежных приложений”
Семинар компании «Информзащита»
г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky