PCI SSF (PA-DSS)

О СТАНДАРТЕ PCI SSF (PA-DSS)

PCI Software Security Framework (SSF) – это семейство стандартов, направленных на обеспечение безопасности программного обеспечения, на данный момент состоит из двух связанных между собой стандартов — ​Secure Software Standard (SSS) и Secure Software Lifecycle (Secure SLC) Standard.

Secure Software Standard – определяет набор требований по безопасности и связанных с ними комплексных процедур, выполнение которых гарантирует, что платежное программное обеспечение защищает целостность и конфиденциальность платежных операций и обрабатываемых данных.

Соблюдать требования Secure Software Standard необходимо при продаже, распространении и/или лицензировании этих приложений третьими лицами, а также при участии в авторизации платежей и расчетах или влиянии на безопасность платежей, и в случае если платежное программное обеспечение предназначено для использования на устройствах PTS POI (одобренных PCI).
Не подлежат оценке: программное обеспечение собственной разработки, программное обеспечение разработанное на заказ для одного единственного заказчика, а также программное обеспечение для мобильного устройства, в том случае если это мобильное устройства не предназначено исключительно для приема платежей для обработки транзакций.

Другими словами, если вы разрабатываете платежное программное обеспечение для использования внутри вашей организацией, то к нему будет применяться требования стандарта PCI DSS. Однако если вы продаете, распространяете и/или лицензируете платежное программное обеспечение (готовые решения, коробочные решения) для разных заказчиков, то такое программное обеспечение должно соответствовать требованиям Secure Software Standard.

Существует два типа оценки соответствия требованиям Secure Software Standard:

  • полная оценка соответствия;
  • дельта-оценка.

Полная оценка проводится только квалифицированным аудитором. Дельта-оценку необходимо проходить при внесении незначительных изменений в программное обеспечение, в периоды между полными оценками соответствия. Дельта-оценка может выполняться самостоятельно вендором со статусом Secure SLC Qualified Vendor. Для получения такого статуса предусмотрен отдельный стандарт — Secure SLC Standard.

Secure SLC Standard — определяет набор требований к вендорам программного обеспечения по управлению безопасностью поставляемого ими платежного программного обеспечения на протяжении всего жизненного цикла. После прохождения сертификации вендору присваивается статус Secure SLC Qualified Vendor и предоставляется возможность проведения дельта-­оценок без привлечения квалифицированного аудитора.

Компания Compliance Control уполномочена проводить аудиты по обоим стандартам SSF.

Компания Compliance Control поможет вам внедрить лучшие практики и процессы, покажет, как обеспечить разработку приложения в соответствии с требованиями SSF, проконсультирует, как подготовить нужную документацию (Implementation Guidance) и будет поддерживать вас в процессе полного соответствия требованиям по обоим стандартам.

Напишите нам, чтобы получить консультацию
по вопросам аудита PCI SSF и мы свяжемся с вами в течение 30 мин.

Заполнить

ЭТАПЫ ПРОЕКТА

1 Этап

Оценка текущего состояния и выявление недочетов согласно требованиям SSF (Secure Software Standard и/или Secure SLC Standard)

Мы начнем процесс валидации вашего платежного программного обеспечения (или ваших процессов как вендора платежного программного обеспечения) с консультации по требованиям стандартов SSF и ознакомления с программным обеспечением, а затем проведем проверку кода программного обеспечения, просмотрим содержимое лог-файла, записей базы данных (изучим документацию и понаблюдаем за процессами проектирования, разработки, тестирования, релиза, поддержки как вендора платежного программного обеспечения).

По результатам первого этапа выдадим рекомендации по устранению выявленных недочетов.

2 Этап

Сертификационный аудит и составление отчета о проверке соответствия требованиям SSF (Secure Software Standard и/или Secure SLC Standard)

Составленный нами отчет (Report of Validation по Secure Software Standard и/или Report of Compliance по Secure SLC Standard) будет передан в Совет (PCI SSC):

  • для включения вашего программного обеспечения в перечень проверенного платежного программного обеспечения после успешного рассмотрения и валидации документов со стороны Совета

и/или

  • для включения вас как вендора платежного программного обеспечения в перечень вендоров после успешного рассмотрения и валидации документов со стороны Совета.

РЕЗУЛЬТАТЫ ПРОЕКТА

По результатам сертификационного аудита по Secure Software Standard наши аудиторы выдадут Attestation of Validation (AOV) и подготовят отчетную документацию для включения платежного программного обеспечения в перечень проверенного платежного программного обеспечения.

 

По результатам сертификационного аудита по Secure SLC Standard наши аудиторы выдадут Attestation of Compliance (AOC) и подготовят отчетную документацию для включения вендора в перечень вендоров программного обеспечения, соответствующих требованиям стандарта Secure SLC.

Заинтересованы в услуге? Напишите нам!