SlideShare une entreprise Scribd logo

Ключевые особенности сертификации по PA-DSS

D
Digital Security
1  sur  20
Télécharger pour lire hors ligne
Ключевые особенности сертификации по PA-DSS Александр Поляков,Digital Security Руководитель направления аудита ИБ, PCI QSA,PA-QSA Руководитель исследовательской лаборатории DSecRG
Ключевые особенности сертификации по PA-DSS Стандарты PCI © 2002—2010, Digital Security 2
Ключевые особенности сертификации по PA-DSS Стандарты PCI • PCI PTS – защита PIN Шифровать PIN во время передачи в платежное приложение или Hardware- терминал • PCI PA-DSS – охватывает безопасность платѐжных приложений Платѐжное приложение получает карточные данные от PED и других устройств и инициирует платѐжную транзакцию • PCI DSS охватывает безопасность систем которые хранят передают и обрабатывают карточные данные Системы получают данные от платѐжных приложений и других источников (эквайеров) © 2002—2010, Digital Security 3
Ключевые особенности сертификации по PA-DSS Стандарт PA-DSS 1. Разработан на основе программы Visa Payment Application Best Practices (PABP), продвигается Советом PCI SSC 2. Требования стандарта PA-DSS распространяются на коммерческие приложения, которые обеспечивают процесс авторизации или settlement в случае продажи этих приложений. 3. Основной целью стандарта PA-DSS является обеспечение совместимости платежных приложений с требованиями PCI DSS 4. Платѐжные приложения должны помогать и не препятствовать PCI DSS соответствию • Track хранится после авторизации • Приложение требует отключения тех или иных защитных механизмов, требуемых для PCI DSS (к примеру, антивирусы и файерволы) • Производитель использует небезопасный метод удалѐнного доступа к приложению для поддержки © 2002—2010, Digital Security 4
Ключевые особенности сертификации по PA-DSS Применимость стандарта PA-DSS 1. Требования стандарта распространяются на приложения, продаваемые на рынке неограниченному кругу покупателей 2. Требования стандарта распространяются на приложения, состоящие из нескольких модулей. • Стандарт охватывает только тот модуль, который непосредственно выполняет платѐжные функции, если его можно выделить и это подтверждено PA-QSA • Если другие модули участвуют в платѐжных функциях - они также попадают под требования стандарта 3. Требования стандарта не распространяются на приложения собственной разработки и приложения, разработанные на заказ для единственного клиента 4. К платѐжным приложениям, проверяемым по PA DSS, не относятся Операционные системы, СУБД, Back-Office системы, хранящие карточные данные © 2002—2010, Digital Security 5
Ключевые особенности сертификации по PA-DSS Предыстория 1. Разработан на основе программы Visa Payment Application Best Practices (PABP) 2. Старые приложения, проверенные по PABP, имеют срок действия, после которого они помечаются как “не применимы для новых внедрений” 3. Если производитель хочет, чтобы после окончания срока действия приложение можно было использовать для новых внедрений, он должен пройти процедуру подтверждения у PA-QSA (Transition Procedure) https://www.pcisecuritystandards.org/pdfs/pci_pabp_to_pa-dss_transition_v1.pdf © 2002—2010, Digital Security 6
Ключевые особенности сертификации по PA-DSS Timelines Application Validated According To Deployment Notes Revalidation Date Expiry Date AAA PA-DSS v1.2 Acceptable for May 01, 2010 Oct 02, 2013 new deployments BBB PA-DSS v1.1 Acceptable for Dec 02, 2010 Dec 02, 2013 new deployments CCC PABP 1.4 Acceptable for Dec 02, 2009 Dec 02, 2010 new deployment DDD Prior to PABP 1.3 Not recommended Dec 02, 2009 Dec 02, 2009 for new deployments Перечень приложений, прошедших сертификацию: https://www.pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html © 2002—2010, Digital Security 7
Ключевые особенности сертификации по PA-DSS Сроки по соответствию 1. Условия Visa • Начиная с 1 июля 2010 года вновь подключаемые к эквайерам торгово- сервисные предприятия должны использовать только сертифицированные по стандарту PA-DSS платежные приложения или быть проверены по PCI DSS • 1 июля 2012 года эквайеры должны гарантировать, что все торгово-сервисные предприятия и агенты используют только сертифицированные по стандарту PA-DSS платежные приложения 2. Условия MasterCard • Начиная с 1 июля 2012 года все торгово-сервисные предприятия и поставщики услуг должны использовать только сертифицированные по стандарту PA-DSS платежные приложения © 2002—2010, Digital Security 8
Ключевые особенности сертификации по PA-DSS Стандарт PA-DSS Состоит из 14 требований, относящихся к трѐм различным областям: • Собственно отвечающие за безопасность приложения • Проверяющие процедуры разработки • Проверяющие наличие и полноту “Implementation Guide” Implementation Guide – руководство по безопасному внедрению приложения © 2002—2010, Digital Security 9
Ключевые особенности сертификации по PA-DSS Требования, отвечающие за безопасность приложения • Таких требований большинство • Описывают все аспекты безопасности приложений, такие как: • Проверка на наличие программных уязвимостей (OWASP) • Проверка с использованием Forensic tools на отсутствие хранения критичных авторизационных данных • Шифрование и управление ключами • Безопасные настройки по умолчанию • Наличие средств протоколирования событий в соответствии с PCI DSS (Требование 10) © 2002—2010, Digital Security 10
Ключевые особенности сертификации по PA-DSS Требования, проверяющие процедуры разработки Описывают аспекты разработки приложений, такие как: • Разработка приложений в соответствии с требованиями безопасности (Описано в 6.3 стандарта PCI DSS) • Разработка web-приложений в соответствии с требованиями безопасности (OWASP) • Наличие процедур контроля изменений • Разделение обязанностей разработки и тестирования • Процедуры выявления новых уязвимостей и подписка на рассылки • Процедуры безопасной установки обновлений © 2002—2010, Digital Security 11
Ключевые особенности сертификации по PA-DSS Требования, проверяющие наличие и полноту “Implementation Guide” Описывают аспекты безопасной установки и настройки приложений в соответствии с требованиями PCI DSS • Описание безопасного внедрения в случае наличия беспроводных сетей • Инструкция по удалению данных после окончания срока хранения • Инструкции о запрете хранения данных о платѐжных картах в системах доступных из Интернет • Инструкции по использованию двухфакторной аутентификации • Инструкции по использованию шифрования при передаче данных по открытым сетям © 2002—2010, Digital Security 12
Ключевые особенности сертификации по PA-DSS Процесс прохождения сертификации • Работа на стороне заказчика (1-3 месяца) • Производитель желает пройти сертификацию • Выбирает PA-QSA • PA-QSA проводит анализ безопасности приложения Сильно зависит от готовности клиента • Работа на стороне PCI SSC (1-3 месяца) • PA-QSA отправляет отчѐт в PCI SSC • PCI SSC отправляет подтверждение • Приложение появляется на сайте Зависит от “правильности” отчѐта © 2002—2010, Digital Security 13
Процесс прохождения сертификации Производитель хочет сертифицировать Приложение НЕТ Вендор Читает документацию на Исправляет ДА сайте SSC Недостатки Release Agreement недостатки исправлен и NDA подписаны Выбирает QSA и ы подписывает NDA НЕТ Предоставляет Подписывание Приложение и Release Agreement ДА документацию для PA-QSA НЕТ Проверяет PA-QSA приложение и ДА Отправка отчѐта в Компания составляет отчѐт Отчѐт полный PCI SSC (ROV) Анализ закончен Совет Создаѐт Acceptance Сохраняет Отчѐт Letter PCI SSC Запуск Запрашивает у программы производителя Добавляет проверки Сборы за листинг приложение на сайт качества приложения на В конце текущего отчѐтов сайте месяца 4
Ключевые особенности сертификации по PA-DSS Послесертификационные процедуры • Внесение изменений в список PA-DSS приложений • 3 сценария • Незначительные изменения в приложении – нет влияния на требования PA-DSS. В этом случае документирует изменения и получает подтверждение от PA-QSA. • Значительные изменения в приложении – есть прямое влияние на требования PA-DSS. В этом случае производитель отдаѐт новую версию приложения на полный анализ своему PA-QSA • Нет изменений. В этом случае ежегодно заполняется и отправляется форма документа Attestation of Validation. © 2002—2010, Digital Security 4
Ключевые особенности сертификации по PA-DSS Процесс принятия несущественных изменений • Производитель подготавливает документ по анализу изменений • Отправляет список изменений своему PA-QSA • PA-QSA проверяет документ по анализу изменений • Если есть влияния на PA-DSS в случае их исправления, процедура повторяется • В обратном случае необходима перепроверка. • Если изменения не влияют и это подтверждено PA-QSA, то заполняется Self-attestation, подписывается PA-QSA и отправляется в Совет © 2002—2010, Digital Security 4
Ключевые особенности сертификации по PA-DSS Процесс ежегодной перепроверки • Формальная процедура • За 60 дней до назначенной даты перепроверки (Revalidation Date) PCI SSC запрашивает ежегодный взнос и часть 3B документа Attestation of Validation • Производитель, в свою очередь, заполняет и отправляет часть 3B документа Attestation of Validation • PCI SSC принимает взносы и подтверждает присланный документ • На сайте изменяется дата следующей перепроверки © 2002—2010, Digital Security 4
Ключевые особенности сертификации по PA-DSS Приемущества прохождения PA-DSS 1. Для производителя 1. Конкурентное преимущество на рынке 2. Повышение безопасности приложения 3. В случае отсутствия возможна потеря клиентов 2. Для ТСП, использующих PA-DSS приложение 1. Уменьшение количества выполняемых требований для прохождения PCI DSS 2. Уменьшается вероятность нарушения безопасности, приводящего к компрометации TRACK,CVV2,PIN,PIN BLOCK 3. Документация по выполнению большинства из оставшихся требований 4. В случае отсутствия возможны меры от МПС © 2002—2010, Digital Security 4
Ключевые особенности сертификации по PA-DSS Выбор подрядчика 1. На данный момент только 2 российских компании предоставляют данные услуги 2. Digital Security 1. Сертифицированная PCI DSS и PA-DSS компания 2. Имеет тестовую лабораторию для анализа защищѐнности приложений 3. Имеет огромный опыт в исследовании безопасности приложений 4. Благодарности от таких производителей, как SAP, Oracle, IBM, SUN, HP, за обнаруженные уязвимости © 2002—2010, Digital Security 4
Ключевые особенности сертификации по PA-DSS Дополнительная информация http://www.Pcisecuritystandards.org • PA-DSS Security Standard Security Assessment Procedures v1.2 • PA-DSS Program guide • PABP to PA-DSS Translation Procedures • PABP to PA-DSS Summary of Changes http://pcidss.ru © 2002—2010, Digital Security 4

Recommandé

Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSDigital Security
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьКРОК
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакКРОК
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Expolink
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами КРОК
 

Recommandé

Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSDigital Security
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьКРОК
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакКРОК
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Expolink
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами КРОК
 
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКРОК
 
Решения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийРешения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийКРОК
 
Решение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройРешение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройКРОК
 
Инфраструктурные программные решения
Инфраструктурные программные решенияИнфраструктурные программные решения
Инфраструктурные программные решенияКРОК
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Аренда приложений SaaS
Аренда приложений SaaSАренда приложений SaaS
Аренда приложений SaaSКРОК
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиinfoforum
 
Внедрение бизнес приложений
Внедрение бизнес приложенийВнедрение бизнес приложений
Внедрение бизнес приложенийКРОК
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecCisco Russia
 
07.0 Звук, видео, свет
07.0 Звук, видео, свет07.0 Звук, видео, свет
07.0 Звук, видео, светКРОК
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» LETA IT-company
 
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuvGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuVirtSGR
 
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days
 
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийУслуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийКРОК
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Взгляд на безопасность со стороны инфраструктуры
Взгляд на безопасность со стороны инфраструктурыВзгляд на безопасность со стороны инфраструктуры
Взгляд на безопасность со стороны инфраструктурыareconster
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSDigital Security
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znatInformzaschita
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 

Contenu connexe

Tendances

Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКРОК
 
Решения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийРешения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийКРОК
 
Решение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройРешение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройКРОК
 
Инфраструктурные программные решения
Инфраструктурные программные решенияИнфраструктурные программные решения
Инфраструктурные программные решенияКРОК
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Аренда приложений SaaS
Аренда приложений SaaSАренда приложений SaaS
Аренда приложений SaaSКРОК
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиinfoforum
 
Внедрение бизнес приложений
Внедрение бизнес приложенийВнедрение бизнес приложений
Внедрение бизнес приложенийКРОК
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecCisco Russia
 
07.0 Звук, видео, свет
07.0 Звук, видео, свет07.0 Звук, видео, свет
07.0 Звук, видео, светКРОК
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» LETA IT-company
 
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuvGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuVirtSGR
 
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days
 
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийУслуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийКРОК
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Взгляд на безопасность со стороны инфраструктуры
Взгляд на безопасность со стороны инфраструктурыВзгляд на безопасность со стороны инфраструктуры
Взгляд на безопасность со стороны инфраструктурыareconster
 

Tendances (19)

Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
 
Решения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийРешения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операций
 
Решение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройРешение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктурой
 
Инфраструктурные программные решения
Инфраструктурные программные решенияИнфраструктурные программные решения
Инфраструктурные программные решения
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
 
Аренда приложений SaaS
Аренда приложений SaaSАренда приложений SaaS
Аренда приложений SaaS
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
 
Внедрение бизнес приложений
Внедрение бизнес приложенийВнедрение бизнес приложений
Внедрение бизнес приложений
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
 
07.0 Звук, видео, свет
07.0 Звук, видео, свет07.0 Звук, видео, свет
07.0 Звук, видео, свет
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
 
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuvGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
 
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
 
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийУслуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложений
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
 
Взгляд на безопасность со стороны инфраструктуры
Взгляд на безопасность со стороны инфраструктурыВзгляд на безопасность со стороны инфраструктуры
Взгляд на безопасность со стороны инфраструктуры
 

Similaire à Ключевые особенности сертификации по PA-DSS

Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSDigital Security
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znatInformzaschita
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssInformzaschita
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Eugene Bartov
 
ИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеровИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеровDenis Bezkorovayny
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSAlex Babenko
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSDeiteriy Co. Ltd.
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSRISSPA_SPb
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0RISSPA_SPb
 
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)Expolink
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейОпыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейkvolkov
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Iso25999
Iso25999Iso25999
Iso25999Nyukers
 

Similaire à Ключевые особенности сертификации по PA-DSS (20)

Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znat
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни»
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
 
ИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеровИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеров
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
 
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_service
 
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейОпыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Iso25999
Iso25999Iso25999
Iso25999
 

Plus de Digital Security

Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideDigital Security
 
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSDigital Security
 
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS CertificationDigital Security
 
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБОDigital Security
 
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSDigital Security
 
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложенийDigital Security
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакойDigital Security
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийDigital Security
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОDigital Security
 

Plus de Digital Security (11)

Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSS
 
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation Guide
 
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSS
 
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS Certification
 
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБО
 
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSS
 
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложений
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакой
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложений
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
 
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
 

Ключевые особенности сертификации по PA-DSS

  • 1. Ключевые особенности сертификации по PA-DSS Александр Поляков,Digital Security Руководитель направления аудита ИБ, PCI QSA,PA-QSA Руководитель исследовательской лаборатории DSecRG
  • 2. Ключевые особенности сертификации по PA-DSS Стандарты PCI © 2002—2010, Digital Security 2
  • 3. Ключевые особенности сертификации по PA-DSS Стандарты PCI • PCI PTS – защита PIN Шифровать PIN во время передачи в платежное приложение или Hardware- терминал • PCI PA-DSS – охватывает безопасность платѐжных приложений Платѐжное приложение получает карточные данные от PED и других устройств и инициирует платѐжную транзакцию • PCI DSS охватывает безопасность систем которые хранят передают и обрабатывают карточные данные Системы получают данные от платѐжных приложений и других источников (эквайеров) © 2002—2010, Digital Security 3
  • 4. Ключевые особенности сертификации по PA-DSS Стандарт PA-DSS 1. Разработан на основе программы Visa Payment Application Best Practices (PABP), продвигается Советом PCI SSC 2. Требования стандарта PA-DSS распространяются на коммерческие приложения, которые обеспечивают процесс авторизации или settlement в случае продажи этих приложений. 3. Основной целью стандарта PA-DSS является обеспечение совместимости платежных приложений с требованиями PCI DSS 4. Платѐжные приложения должны помогать и не препятствовать PCI DSS соответствию • Track хранится после авторизации • Приложение требует отключения тех или иных защитных механизмов, требуемых для PCI DSS (к примеру, антивирусы и файерволы) • Производитель использует небезопасный метод удалѐнного доступа к приложению для поддержки © 2002—2010, Digital Security 4
  • 5. Ключевые особенности сертификации по PA-DSS Применимость стандарта PA-DSS 1. Требования стандарта распространяются на приложения, продаваемые на рынке неограниченному кругу покупателей 2. Требования стандарта распространяются на приложения, состоящие из нескольких модулей. • Стандарт охватывает только тот модуль, который непосредственно выполняет платѐжные функции, если его можно выделить и это подтверждено PA-QSA • Если другие модули участвуют в платѐжных функциях - они также попадают под требования стандарта 3. Требования стандарта не распространяются на приложения собственной разработки и приложения, разработанные на заказ для единственного клиента 4. К платѐжным приложениям, проверяемым по PA DSS, не относятся Операционные системы, СУБД, Back-Office системы, хранящие карточные данные © 2002—2010, Digital Security 5
  • 6. Ключевые особенности сертификации по PA-DSS Предыстория 1. Разработан на основе программы Visa Payment Application Best Practices (PABP) 2. Старые приложения, проверенные по PABP, имеют срок действия, после которого они помечаются как “не применимы для новых внедрений” 3. Если производитель хочет, чтобы после окончания срока действия приложение можно было использовать для новых внедрений, он должен пройти процедуру подтверждения у PA-QSA (Transition Procedure) https://www.pcisecuritystandards.org/pdfs/pci_pabp_to_pa-dss_transition_v1.pdf © 2002—2010, Digital Security 6
  • 7. Ключевые особенности сертификации по PA-DSS Timelines Application Validated According To Deployment Notes Revalidation Date Expiry Date AAA PA-DSS v1.2 Acceptable for May 01, 2010 Oct 02, 2013 new deployments BBB PA-DSS v1.1 Acceptable for Dec 02, 2010 Dec 02, 2013 new deployments CCC PABP 1.4 Acceptable for Dec 02, 2009 Dec 02, 2010 new deployment DDD Prior to PABP 1.3 Not recommended Dec 02, 2009 Dec 02, 2009 for new deployments Перечень приложений, прошедших сертификацию: https://www.pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html © 2002—2010, Digital Security 7
  • 8. Ключевые особенности сертификации по PA-DSS Сроки по соответствию 1. Условия Visa • Начиная с 1 июля 2010 года вновь подключаемые к эквайерам торгово- сервисные предприятия должны использовать только сертифицированные по стандарту PA-DSS платежные приложения или быть проверены по PCI DSS • 1 июля 2012 года эквайеры должны гарантировать, что все торгово-сервисные предприятия и агенты используют только сертифицированные по стандарту PA-DSS платежные приложения 2. Условия MasterCard • Начиная с 1 июля 2012 года все торгово-сервисные предприятия и поставщики услуг должны использовать только сертифицированные по стандарту PA-DSS платежные приложения © 2002—2010, Digital Security 8
  • 9. Ключевые особенности сертификации по PA-DSS Стандарт PA-DSS Состоит из 14 требований, относящихся к трѐм различным областям: • Собственно отвечающие за безопасность приложения • Проверяющие процедуры разработки • Проверяющие наличие и полноту “Implementation Guide” Implementation Guide – руководство по безопасному внедрению приложения © 2002—2010, Digital Security 9
  • 10. Ключевые особенности сертификации по PA-DSS Требования, отвечающие за безопасность приложения • Таких требований большинство • Описывают все аспекты безопасности приложений, такие как: • Проверка на наличие программных уязвимостей (OWASP) • Проверка с использованием Forensic tools на отсутствие хранения критичных авторизационных данных • Шифрование и управление ключами • Безопасные настройки по умолчанию • Наличие средств протоколирования событий в соответствии с PCI DSS (Требование 10) © 2002—2010, Digital Security 10
  • 11. Ключевые особенности сертификации по PA-DSS Требования, проверяющие процедуры разработки Описывают аспекты разработки приложений, такие как: • Разработка приложений в соответствии с требованиями безопасности (Описано в 6.3 стандарта PCI DSS) • Разработка web-приложений в соответствии с требованиями безопасности (OWASP) • Наличие процедур контроля изменений • Разделение обязанностей разработки и тестирования • Процедуры выявления новых уязвимостей и подписка на рассылки • Процедуры безопасной установки обновлений © 2002—2010, Digital Security 11
  • 12. Ключевые особенности сертификации по PA-DSS Требования, проверяющие наличие и полноту “Implementation Guide” Описывают аспекты безопасной установки и настройки приложений в соответствии с требованиями PCI DSS • Описание безопасного внедрения в случае наличия беспроводных сетей • Инструкция по удалению данных после окончания срока хранения • Инструкции о запрете хранения данных о платѐжных картах в системах доступных из Интернет • Инструкции по использованию двухфакторной аутентификации • Инструкции по использованию шифрования при передаче данных по открытым сетям © 2002—2010, Digital Security 12
  • 13. Ключевые особенности сертификации по PA-DSS Процесс прохождения сертификации • Работа на стороне заказчика (1-3 месяца) • Производитель желает пройти сертификацию • Выбирает PA-QSA • PA-QSA проводит анализ безопасности приложения Сильно зависит от готовности клиента • Работа на стороне PCI SSC (1-3 месяца) • PA-QSA отправляет отчѐт в PCI SSC • PCI SSC отправляет подтверждение • Приложение появляется на сайте Зависит от “правильности” отчѐта © 2002—2010, Digital Security 13
  • 14. Процесс прохождения сертификации Производитель хочет сертифицировать Приложение НЕТ Вендор Читает документацию на Исправляет ДА сайте SSC Недостатки Release Agreement недостатки исправлен и NDA подписаны Выбирает QSA и ы подписывает NDA НЕТ Предоставляет Подписывание Приложение и Release Agreement ДА документацию для PA-QSA НЕТ Проверяет PA-QSA приложение и ДА Отправка отчѐта в Компания составляет отчѐт Отчѐт полный PCI SSC (ROV) Анализ закончен Совет Создаѐт Acceptance Сохраняет Отчѐт Letter PCI SSC Запуск Запрашивает у программы производителя Добавляет проверки Сборы за листинг приложение на сайт качества приложения на В конце текущего отчѐтов сайте месяца 4
  • 15. Ключевые особенности сертификации по PA-DSS Послесертификационные процедуры • Внесение изменений в список PA-DSS приложений • 3 сценария • Незначительные изменения в приложении – нет влияния на требования PA-DSS. В этом случае документирует изменения и получает подтверждение от PA-QSA. • Значительные изменения в приложении – есть прямое влияние на требования PA-DSS. В этом случае производитель отдаѐт новую версию приложения на полный анализ своему PA-QSA • Нет изменений. В этом случае ежегодно заполняется и отправляется форма документа Attestation of Validation. © 2002—2010, Digital Security 4
  • 16. Ключевые особенности сертификации по PA-DSS Процесс принятия несущественных изменений • Производитель подготавливает документ по анализу изменений • Отправляет список изменений своему PA-QSA • PA-QSA проверяет документ по анализу изменений • Если есть влияния на PA-DSS в случае их исправления, процедура повторяется • В обратном случае необходима перепроверка. • Если изменения не влияют и это подтверждено PA-QSA, то заполняется Self-attestation, подписывается PA-QSA и отправляется в Совет © 2002—2010, Digital Security 4
  • 17. Ключевые особенности сертификации по PA-DSS Процесс ежегодной перепроверки • Формальная процедура • За 60 дней до назначенной даты перепроверки (Revalidation Date) PCI SSC запрашивает ежегодный взнос и часть 3B документа Attestation of Validation • Производитель, в свою очередь, заполняет и отправляет часть 3B документа Attestation of Validation • PCI SSC принимает взносы и подтверждает присланный документ • На сайте изменяется дата следующей перепроверки © 2002—2010, Digital Security 4
  • 18. Ключевые особенности сертификации по PA-DSS Приемущества прохождения PA-DSS 1. Для производителя 1. Конкурентное преимущество на рынке 2. Повышение безопасности приложения 3. В случае отсутствия возможна потеря клиентов 2. Для ТСП, использующих PA-DSS приложение 1. Уменьшение количества выполняемых требований для прохождения PCI DSS 2. Уменьшается вероятность нарушения безопасности, приводящего к компрометации TRACK,CVV2,PIN,PIN BLOCK 3. Документация по выполнению большинства из оставшихся требований 4. В случае отсутствия возможны меры от МПС © 2002—2010, Digital Security 4
  • 19. Ключевые особенности сертификации по PA-DSS Выбор подрядчика 1. На данный момент только 2 российских компании предоставляют данные услуги 2. Digital Security 1. Сертифицированная PCI DSS и PA-DSS компания 2. Имеет тестовую лабораторию для анализа защищѐнности приложений 3. Имеет огромный опыт в исследовании безопасности приложений 4. Благодарности от таких производителей, как SAP, Oracle, IBM, SUN, HP, за обнаруженные уязвимости © 2002—2010, Digital Security 4
  • 20. Ключевые особенности сертификации по PA-DSS Дополнительная информация http://www.Pcisecuritystandards.org • PA-DSS Security Standard Security Assessment Procedures v1.2 • PA-DSS Program guide • PABP to PA-DSS Translation Procedures • PABP to PA-DSS Summary of Changes http://pcidss.ru © 2002—2010, Digital Security 4