Компания «Информзащита» рассказала о безопасности платежных приложений

25 марта 2010 года в гостинице «Holliday Inn Suschevsky» прошел семинар «Стандарт PA-DSS: безопасность платежных приложений», организатором мероприятия выступила компания «Информзащита», первая российская компания, получившая в 2009 году статус Payment Application Qualified Security Assessor. Участниками семинара стали технические директора и руководители компаний, специализирующихся на разработке платежных приложений.

На семинаре была представлена подробная информация о требованиях стандарта PA-DSS, основных этапах и практике проведения сертификации. Сертифицированные PA-QSA аудиторы и эксперты компании «Информзащита» дали подробные рекомендации по выполнению требований стандарта.

PA-DSS — стандарт безопасности платежных приложений (Payment Application Data Security Standard), основанный на требованиях Visa Inc. Payment Application Best Practices (PABP) и направленный на поддержку выполнения требований стандарта PCI DSS. PA DSS разработан и принят в 2008 году Советом по безопасности индустрии платежных карт (PCI SSC). По требованиям платежных систем VISA и MasterCard все приложения, участвующие в обработке транзакций авторизации или проведения расчетов по пластиковым картам (authorization or clearing/settlement), должны быть сертифицированы по стандарту PA-DSS.

«Первый вопрос, который волнует всех разработчиков — это область применения стандарта, то есть какие приложения сертифицируются, какие — нет, а также границы применения стандартов PA-DSS и PCI DSS, — рассказывает Анна Гольдштейн, заместитель директора департамента аудита компании «Информзащита». — Вторая, по популярности тема — это поддержка сертификации. На прошедшем семинаре мы постарались как можно полнее ответить на эти два вопроса. Компания «Информзащита» имеет статусы «Payment Application Qualified Security Assessor», «Qualified Security Assessor», «Approved Scanning Vendor» и сертифицирована на выполнение аудита в соответствии с требованиями стандарта PA-DSS и PCI DSS. Многочисленный практический опыт проведения подобных аудитов, дает нам возможность лучше понимать потребности наших заказчиков».