|
|
 |
 |
 |
|
Обращайтесь в FortConsult, если вы хотите знать: |
 |
| - | Как толковать требования по безопасности в PA DSS |
|
| - | Распространяется ли на вас право на освобождение от сертификации PA DSS |
|
| - | Как подвердить соответствие стандарту PA DSS наиболее быстрым и простым способом |
|
| - | Каким образом вы можете минимизировать ваши затраты при получении подверждения о соответствии стандарту PA DSS |
|
|
|
|
|
|
|
|
|
|
|
|
 |
|
| FortConsult является единственной в Дании компанией, сертифицированной VISA и MasterCard на проведение сканирований и аудитов безопасности на критичных платежных системах клиентов в соответствии со стандартом PCI и проверку безопасности в платежных приложениях в соответствии со стандартом безопасности данных платежных приложений (PA DSS). |
|
|
|
|
|
|
|
|
|
 |
|
 |
| В основном это предприятия, которые занимаются разработкой и внедрением решений с использованием кредитных карт, то есть предприятия, которые разрабатывают информационные системы, посредством которых клиенты производят оплату с помощью кредитных карт, независимо от того являются ли транзакции кредитных карт главной или второстепенной частью системы. К таким предприятиям относятся как интеграторы, занимающиеся разработкой программного обеспечения с целью продажи систем/кассовых аппаратов, так и поставщики терминалов, занимающиеся разработкой платежных терминалов для предприятий торговли. |
|
| |
| Кроме того, бизнес предприятия, разрабатывающие программное обеспечение, которое обрабатывает данные кредитных карт, например для банков, банкоматов и электронного бизнеса, также попадают под действие стандарта PA DSS. Программное обеспечение должно соответствовать стандарту PA DSS, даже если оно не хранит, а просто обрабатывает данные платежных карт. |
|
| |
| Соответствие программного решения стандарту PA DSS должно подтверждаться в любом случае, например, даже если оно уже одобрено банком-эквайером в другом контексте. |
|
| |
| Кроме того, предприятия, занимающиеся поддержкой и управлением системами, имеющими в своем составе программное обеспечение для платежей, должны подтвердить соответствие стандарту PCI DSS, поскольку в своей среде управления обрабатывают данные кредитных карт. О требованиях стандарта PCI DSS для таких бизнес предприятий вы можете более подробно прочитать в разделе «Центры данных и PCI» |
| |
| Руководство от Совета по Стандартизации безопасности PCI |
| Данное руководство может использоваться, чтобы определить, применим ли стандарт PA DSS к конкретному платежному приложению: |
|
| |
| Примечание: Соответствие стандарту не подтверждается для beta-версий программных продуктов. |
| |
| Стандарт применяется |
- Стандарт PA DSS применяется к платежным приложениям, которые продаются и устанавливаются уже готовые к использованию, без внесения существенных изменений поставщиками программного обеспечения.
- Стандарт PA DSS применяется к платежным приложениям поставляемым в виде модулей, которые обычно включают «базовый» модуль и остальные модули в зависимости от специфики клиента и выполняемых функций, либо изменяются по запросу клиента. Стандарт PA DSS может применятся только к базовому модулю, если только этот модуль выполняет платежные функции (подтверждается единожды сертифицированной аудиторской компанией платежных приложений - PA-QSA). Если другие модули также выполняют платежные функции, стандарт PA DSS применяется и к ним.
- Обращаем ваше внимание на то, что изоляция платежных функций в отдельном базовом модуле или в их небольшом числе, с переложением при этом функций, не связанных с платежами на другие модули, считается для поставщиков программного обеспечения «лучшей практикой». Использование этой практики, не являющейся требованием, позволяет ограничить число программных модулей, попадающих под действие стандарта PA DSS.
|
| |
| Стандарт не применяется |
- Стандарт PA DSS не применяется к платежным приложениям, разработанным только для одного клиента, поскольку такие приложения рассматриваются во время обычной оценки соответствия клиента стандарту PCI DSS. Обращаем ваше внимание, что такие приложения (которые также могут рассматриваться как приложения, «сделанные на заказ») продаются только одному заказчику (обычно крупному торговому предприятию или поставщику услуг) и проектируются и разрабатываются в соответствии со спецификациями, предоставленными заказчиком.
- Стандарт PA DSS не применяется к платежным приложениям, разработанным торговыми предприятиями и поставщиками услуг, в том случае, если они используются только в пределах данного предприятия (не продаются третьим сторонам), поскольку такие приложения рассматриваются во время обычной оценки соответствия торгового предприятия или поставщика услуг стандарту PCI DSS.
|
|
| |
| Примером для двух вышеуказанных пунктов может служить разработанное для использования в пределах предприятия или «сделанное на заказ» платежное приложение, хранящее запрещенные важные данные аутентификации или принимающее комплексные пароли, которое рассматривается во время обычной оценки соответствия торгового предприятия или поставщика услуг стандарту PCI DSS и не требует отдельной оценки на соответствие стандарту PA DSS. |
|
| |
| Стандарт PA DSS применяется к поставщикам программного обеспечения и тем, кто разрабатывает платежные приложения, которые хранят, обрабатывают или передают данные владельцев карт в процессе авторизации или оплаты, в том случае, если эти платежные приложения продаются, распространяются, либо лицензируются на использование третьими сторонами. |
| |
| Содействие со стороны FortConsult |
| Если вам нужна помощь, чтобы удостовериться распространяется ли на ваш бизнес действие стандарта PA DSS, обращайтесь к нам. У нас многолетний опыт работы с PCI DSS, и мы являемся одним из первых в мире предприятий, работающих в сфере безопасности, из тех, кто имеет практический опыт работы с PA DSS. Мы поможем вам определить, должны ли ваши приложения быть сертифицированы в соответствии со стандартом PA DSS, и есть ли возможность освобождения от сертификации, например посредством проектирования технического решения, которое не содержит данных платежных карт. |
|
| |
Далее вы можете узнать более подробно как о требованиях по безопасности стандарта PA DSS, так и о том, как получить подтверждение о соответствии стандарту наиболее простым путем.
|
|
|
|
|
|
|
|
 |
|
| - | В 2004 году сертифицирован на проведение сканирования безопасности в соответствии со стандартом PCI DSS как первая и единственная в Скандинавии компания. |
|
| - | В 2005 году сертифицирован на проведение аудитов безопасности в соответствии со стандартом PCI DSS как первая и единственная в Скандинавии компания. |
|
| - | Благодаря своевременному получению сертификации PCI DSS, нашему немалому опыту работы в области PCI и хорошему знанию финансового сектора мы были выбраны банковским сектором Дании, чтобы помочь всем центрам данных датских банков получить подтверждение о соответствии стандарту PCI DSS. |
|
| - | Постоянный поставщик услуг PCI DSS для всех банков Дании, которым требуется содействие в этой области. |
|
| - | Выполняли задачи PCI DSS для нескольких крупнейших сетей розничных магазинов в Скандинавии на международном уровне. |
|
| - | На сегодняшний день является ведущим поставщиком услуг PCI DSS в Скандинавии и Прибалтике. Нами было сертифицировано более 60% предприятий из составленного VISA списка поставщиков услуг Скандинавии, подвердивших соответствие стандарту. |
|
| - | В 2008 году сертифицирован на предоставление услуг в области PA DSS как первая и единственная компания в Дании, а также в числе первых 14 в мире. |
|
|
|
|
|
|
|
|
|
|
|
|
|
