Contenu connexe Similaire à Ключевые особенности сертификации по PA-DSS Similaire à Ключевые особенности сертификации по PA-DSS (20) Plus de Digital Security (11) Ключевые особенности сертификации по PA-DSS1. Ключевые особенности
сертификации по PA-DSS
Александр Поляков,Digital Security
Руководитель направления аудита ИБ, PCI QSA,PA-QSA
Руководитель исследовательской лаборатории DSecRG
3. Ключевые особенности сертификации по PA-DSS
Стандарты PCI
• PCI PTS – защита PIN
Шифровать PIN во время передачи в платежное приложение или Hardware-
терминал
• PCI PA-DSS – охватывает безопасность платѐжных приложений
Платѐжное приложение получает карточные данные от PED и других
устройств и инициирует платѐжную транзакцию
• PCI DSS охватывает безопасность систем которые хранят передают и
обрабатывают карточные данные
Системы получают данные от платѐжных приложений и других источников
(эквайеров)
© 2002—2010, Digital Security 3
4. Ключевые особенности сертификации по PA-DSS
Стандарт PA-DSS
1. Разработан на основе программы Visa Payment Application Best Practices (PABP),
продвигается Советом PCI SSC
2. Требования стандарта PA-DSS распространяются на коммерческие приложения,
которые обеспечивают процесс авторизации или settlement в случае продажи этих
приложений.
3. Основной целью стандарта PA-DSS является обеспечение совместимости
платежных приложений с требованиями PCI DSS
4. Платѐжные приложения должны помогать и не препятствовать PCI DSS
соответствию
• Track хранится после авторизации
• Приложение требует отключения тех или иных защитных механизмов, требуемых для PCI DSS (к примеру, антивирусы и
файерволы)
• Производитель использует небезопасный метод удалѐнного доступа к приложению для поддержки
© 2002—2010, Digital Security 4
5. Ключевые особенности сертификации по PA-DSS
Применимость стандарта PA-DSS
1. Требования стандарта распространяются на приложения, продаваемые на рынке
неограниченному кругу покупателей
2. Требования стандарта распространяются на приложения, состоящие из нескольких
модулей.
• Стандарт охватывает только тот модуль, который непосредственно выполняет
платѐжные функции, если его можно выделить и это подтверждено PA-QSA
• Если другие модули участвуют в платѐжных функциях - они также попадают под
требования стандарта
3. Требования стандарта не распространяются на приложения собственной
разработки и приложения, разработанные на заказ для единственного клиента
4. К платѐжным приложениям, проверяемым по PA DSS, не относятся Операционные
системы, СУБД, Back-Office системы, хранящие карточные данные
© 2002—2010, Digital Security 5
6. Ключевые особенности сертификации по PA-DSS
Предыстория
1. Разработан на основе программы Visa Payment Application Best Practices
(PABP)
2. Старые приложения, проверенные по PABP, имеют срок действия, после
которого они помечаются как “не применимы для новых внедрений”
3. Если производитель хочет, чтобы после окончания срока действия
приложение можно было использовать для новых внедрений, он должен
пройти процедуру подтверждения у PA-QSA (Transition Procedure)
https://www.pcisecuritystandards.org/pdfs/pci_pabp_to_pa-dss_transition_v1.pdf
© 2002—2010, Digital Security 6
7. Ключевые особенности сертификации по PA-DSS
Timelines
Application Validated According To Deployment Notes Revalidation Date Expiry Date
AAA PA-DSS v1.2 Acceptable for May 01, 2010 Oct 02, 2013
new deployments
BBB PA-DSS v1.1 Acceptable for Dec 02, 2010 Dec 02, 2013
new deployments
CCC PABP 1.4 Acceptable for Dec 02, 2009 Dec 02, 2010
new deployment
DDD Prior to PABP 1.3 Not recommended Dec 02, 2009 Dec 02, 2009
for new
deployments
Перечень приложений, прошедших сертификацию:
https://www.pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html
© 2002—2010, Digital Security 7
8. Ключевые особенности сертификации по PA-DSS
Сроки по соответствию
1. Условия Visa
• Начиная с 1 июля 2010 года вновь подключаемые к эквайерам торгово-
сервисные предприятия должны использовать только сертифицированные по
стандарту PA-DSS платежные приложения или быть проверены по PCI DSS
• 1 июля 2012 года эквайеры должны гарантировать, что все торгово-сервисные
предприятия и агенты используют только сертифицированные по стандарту
PA-DSS платежные приложения
2. Условия MasterCard
• Начиная с 1 июля 2012 года все торгово-сервисные предприятия и поставщики
услуг должны использовать только сертифицированные по стандарту PA-DSS
платежные приложения
© 2002—2010, Digital Security 8
9. Ключевые особенности сертификации по PA-DSS
Стандарт PA-DSS
Состоит из 14 требований, относящихся к трѐм различным областям:
• Собственно отвечающие за безопасность приложения
• Проверяющие процедуры разработки
• Проверяющие наличие и полноту “Implementation Guide”
Implementation Guide – руководство по безопасному внедрению приложения
© 2002—2010, Digital Security 9
10. Ключевые особенности сертификации по PA-DSS
Требования, отвечающие за безопасность приложения
• Таких требований большинство
• Описывают все аспекты безопасности приложений, такие как:
• Проверка на наличие программных уязвимостей (OWASP)
• Проверка с использованием Forensic tools на отсутствие хранения критичных
авторизационных данных
• Шифрование и управление ключами
• Безопасные настройки по умолчанию
• Наличие средств протоколирования событий в соответствии с PCI DSS
(Требование 10)
© 2002—2010, Digital Security 10
11. Ключевые особенности сертификации по PA-DSS
Требования, проверяющие процедуры разработки
Описывают аспекты разработки приложений, такие как:
• Разработка приложений в соответствии с требованиями безопасности (Описано в
6.3 стандарта PCI DSS)
• Разработка web-приложений в соответствии с требованиями безопасности
(OWASP)
• Наличие процедур контроля изменений
• Разделение обязанностей разработки и тестирования
• Процедуры выявления новых уязвимостей и подписка на рассылки
• Процедуры безопасной установки обновлений
© 2002—2010, Digital Security 11
12. Ключевые особенности сертификации по PA-DSS
Требования, проверяющие наличие и полноту “Implementation Guide”
Описывают аспекты безопасной установки и настройки приложений в соответствии с
требованиями PCI DSS
• Описание безопасного внедрения в случае наличия беспроводных сетей
• Инструкция по удалению данных после окончания срока хранения
• Инструкции о запрете хранения данных о платѐжных картах в системах
доступных из Интернет
• Инструкции по использованию двухфакторной аутентификации
• Инструкции по использованию шифрования при передаче данных по открытым
сетям
© 2002—2010, Digital Security 12
13. Ключевые особенности сертификации по PA-DSS
Процесс прохождения сертификации
• Работа на стороне заказчика (1-3 месяца)
• Производитель желает пройти сертификацию
• Выбирает PA-QSA
• PA-QSA проводит анализ безопасности приложения
Сильно зависит от готовности клиента
• Работа на стороне PCI SSC (1-3 месяца)
• PA-QSA отправляет отчѐт в PCI SSC
• PCI SSC отправляет подтверждение
• Приложение появляется на сайте
Зависит от “правильности” отчѐта
© 2002—2010, Digital Security 13
14. Процесс прохождения сертификации
Производитель хочет
сертифицировать
Приложение
НЕТ
Вендор Читает
документацию на
Исправляет ДА
сайте SSC Недостатки Release Agreement
недостатки исправлен и NDA подписаны
Выбирает QSA и ы
подписывает NDA НЕТ
Предоставляет Подписывание
Приложение и Release Agreement ДА
документацию для
PA-QSA
НЕТ
Проверяет
PA-QSA приложение и ДА Отправка отчѐта в
Компания составляет отчѐт Отчѐт полный PCI SSC
(ROV)
Анализ закончен
Совет Создаѐт Acceptance
Сохраняет Отчѐт Letter
PCI SSC
Запуск Запрашивает у
программы производителя Добавляет
проверки Сборы за листинг приложение на сайт
качества приложения на В конце текущего
отчѐтов сайте месяца 4
15. Ключевые особенности сертификации по PA-DSS
Послесертификационные процедуры
• Внесение изменений в список PA-DSS приложений
• 3 сценария
• Незначительные изменения в приложении – нет влияния на требования PA-DSS.
В этом случае документирует изменения и получает подтверждение от PA-QSA.
• Значительные изменения в приложении – есть прямое влияние на требования
PA-DSS. В этом случае производитель отдаѐт новую версию приложения на
полный анализ своему PA-QSA
• Нет изменений. В этом случае ежегодно заполняется и отправляется форма
документа Attestation of Validation.
© 2002—2010, Digital Security 4
16. Ключевые особенности сертификации по PA-DSS
Процесс принятия несущественных изменений
• Производитель подготавливает документ по анализу изменений
• Отправляет список изменений своему PA-QSA
• PA-QSA проверяет документ по анализу изменений
• Если есть влияния на PA-DSS в случае их исправления, процедура
повторяется
• В обратном случае необходима перепроверка.
• Если изменения не влияют и это подтверждено PA-QSA, то заполняется
Self-attestation, подписывается PA-QSA и отправляется в Совет
© 2002—2010, Digital Security 4
17. Ключевые особенности сертификации по PA-DSS
Процесс ежегодной перепроверки
• Формальная процедура
• За 60 дней до назначенной даты перепроверки (Revalidation Date) PCI SSC
запрашивает ежегодный взнос и часть 3B документа Attestation of Validation
• Производитель, в свою очередь, заполняет и отправляет часть 3B
документа Attestation of Validation
• PCI SSC принимает взносы и подтверждает присланный документ
• На сайте изменяется дата следующей перепроверки
© 2002—2010, Digital Security 4
18. Ключевые особенности сертификации по PA-DSS
Приемущества прохождения PA-DSS
1. Для производителя
1. Конкурентное преимущество на рынке
2. Повышение безопасности приложения
3. В случае отсутствия возможна потеря клиентов
2. Для ТСП, использующих PA-DSS приложение
1. Уменьшение количества выполняемых требований для прохождения PCI DSS
2. Уменьшается вероятность нарушения безопасности, приводящего к
компрометации TRACK,CVV2,PIN,PIN BLOCK
3. Документация по выполнению большинства из оставшихся требований
4. В случае отсутствия возможны меры от МПС
© 2002—2010, Digital Security 4
19. Ключевые особенности сертификации по PA-DSS
Выбор подрядчика
1. На данный момент только 2 российских компании предоставляют данные услуги
2. Digital Security
1. Сертифицированная PCI DSS и PA-DSS компания
2. Имеет тестовую лабораторию для анализа защищѐнности приложений
3. Имеет огромный опыт в исследовании безопасности приложений
4. Благодарности от таких производителей, как SAP, Oracle, IBM, SUN, HP, за
обнаруженные уязвимости
© 2002—2010, Digital Security 4
20. Ключевые особенности сертификации по PA-DSS
Дополнительная информация
http://www.Pcisecuritystandards.org
• PA-DSS Security Standard Security Assessment Procedures v1.2
• PA-DSS Program guide
• PABP to PA-DSS Translation Procedures
• PABP to PA-DSS Summary of Changes
http://pcidss.ru
© 2002—2010, Digital Security 4