PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Какие приложения подлежат сертификации PA-DSS? Вам поможет опросник от Совета PCI SSC

В платежной индустрии существуют самые разнообразные "платежные приложения", которые мерчанты могут встраивать в среду транзакций. Хотя PA-DSS – это производственный стандарт для разработки платежных приложений, не все приложения, имеющие отношение к транзакциям, подлежат аудиту и включению в программу PA-DSS Советом PCI SSC.

В контексте PA-DSS платежное приложение, подлежащее аудиту и включению в программу Советом PCI SSC, определяется как такое приложение, которое:

а) хранит, обрабатывает или передает данные о держателях карт (ДДК) в процессе авторизации или подтверждения транзакций; и
б) продается, распространяется или передается по лицензии третьим лицам.

Следующий список вопросов поможет определить, подлежит ли данное приложение аудиту и включению в программу PA-DSS Советом PCI SSC.

В случае ответа "ДА" на ЛЮБОЙ из следующих вопросов приложение НЕ подлежит сертификации PA-DSS:

1. Это бета-версия приложения?

2. Это приложение использует данные о держателях карт, но само по себе не участвует в авторизации или подтверждении транзакций?

3. Это приложение участвует в авторизации или подтверждении транзакций, но не имеет доступа к ДДК или критичной аутентификационной информации?

4. Это приложение требует от пользователя доработки исходного кода или значительных изменений в конфигурации (в отличие от продажи и установки в готовом виде), так что изменения влияют на одно или многие требования PA-DSS?

5. Это приложение является системой личного кабинета, которая хранит ДДК, но не участвует в авторизации или подтверждении транзакций по кредитным картам? Например:

• Отчетность и управление ресурсами компании
• Учет вознаграждений или нарушений

6. Это приложение разрабатывается для личного пользования и не выйдет за пределы компании-разработчика?

7. Это приложение разрабатывается для конкретного клиента, продается только ему и будет использоватсья только им?

8. Это приложение функционирует как библиотека общего доступа (например DLL), и для его работы необходима установка другого приложения, но они не продаются, лицензируются и/или распространяются единым пакетом?

9. Соответствие этого приложения требованиям PA-DSS зависит от работы другого приложения, но они не продаются, лицензируются и/или распространяются единым пакетом?

10. Это приложение – отдельный модуль, который не является неотъемлемой частью системы, а сам по себе не участвует в авторизации или подтверждении транзакций?

11. Это приложение предлагается клиентам только на условиях SaaS ("ПО как услуга"), не продается, не распространяется и не передается по лицензии третьим лицам?

12. Это приложение является операционной системой, базой данных или платформой, пусть даже такой, которая может хранить, обрабатывать или передавать ДДК?

13. Это приложение разработано для потребительских электронных портативных устройств (например, смартфонов, планшетов или КПК), функции которых не ограничиваются принятием оплаты по транзакциям?

Пожалуйста, имейте в виду, что вышеприведенный список неполон, составлен исключительно в показательных целях и может быть дополнен Советом PCI SSC в любой момент.

Что делать продавцу товаров или услуг, если он использует или намеревается использовать приложения, которые хранят, обрабатывают или передают ДДК, но не подлежат сертификации PA-DSS?

Приложения, которые хранят, обрабатывают или передают ДДК, но не подлежат сертификации PA-DSS, войдут в скоуп ежегодного аудита PCI DSS этой организации, и тогда будет проверено их соответствие всем применимым требованиям PCI DSS.

Что делать разработчику приложения, если их продукт не подлежит сертификации по программе PA-DSS Совета PCI SSC?

Если приложение не подлежит сертификации по программе PA-DSS Совета PCI SSC, тогда PCI SSC рекомендует разрабатывать такие приложения, которые предполагается использовать в среде ДДК, с учетом PA-DSS как основы защиты информации о платежных картах.

Продавцы товаров или услуг, которые используют или хотят использовать эти приложения в своей среде ДДК, должны будут включить их в скоуп своего ежегодного аудита PCI DSS.

Пожалуйста, имейте в виду, что у каждой платежной системы своя программа проверки соответствия, и в ней могут быть специфические условия использования приложений, не сертифицированных по PA-DSS, требования к отчетам, сроки прохождения аудитов, стоимость, штрафы и т.п. За информацией о специфических требованиях платежных систем к соответствию вы можете обратиться в свой банк-эквайрер или непосредственно в платежную систему.

Оригинал публикации: https://www.pcisecuritystandards.org/documents/which_applications_eligible_for_pa-dss_validation.pdf
соответствие | выполнение требований | стандарт | pa-dss | публикации | pci dss
КомментарииКомментарии
???
3 марта 2012, 17:25
???? :)
http://ru.deiteriy.com/is_pa-dss_applicable_to_software/

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры