PCI SSF (PA-DSS)

PCI SSF(PA-DSS) СТАНДАРТЫ

PCI Software Security Framework (SSF) – бұл бағдарламалық жасақтаманың қауіпсіздігіне бағытталған стандарттар тобы, қазіргі уақытта екі байланысты стандарттардан тұрады — Secure Software Standard (SSS) және Secure Software Lifecycle (Secure SLC) Standard.

Secure Software Standard – қауіпсіздік талаптарының жиынтығын және олармен байланысты кешенді рәсімдерді анықтайды, олардың орындалуы төлем бағдарламалық жасақтамасының төлем операциялары мен өңделетін деректердің тұтастығы мен құпиялылығын қорғауын қамтамасыз етеді.

Secure Software Standard талаптарын сақтау – бұл қосымшаларды үшінші тұлғаларға сату, тарату және/немесе лицензиялау кезінде, сондай-ақ төлемдерді авторизациялауға және есеп айырысуларға қатысқанда немесе төлем қауіпсіздігіне ықпал еткен жағдайда, және егер төлем бағдарламалық жасақтамасы PCI бекіткен PTS POI құрылғыларында қолдануға арналған болса – міндетті болып табылады.

Бағалауға жатпайды: ұйым ішінде қолдануға арналған өздігінен әзірленген бағдарламалық жасақтама, жекелеген тапсырыс берушіге арнайы әзірленген бағдарламалық жасақтама, сондай-ақ мобильді құрылғыға арналған бағдарламалық жасақтама, егер бұл құрылғы тек төлемдерді қабылдауға арналған арнайы құрылғы болмаса.

Басқаша айтқанда, егер сіз өз ұйымыңыз ішінде пайдалану үшін төлем бағдарламалық жасақтамасын әзірлеп жатсаңыз, оған PCI DSS стандартының талаптары қолданылады. Ал егер сіз төлем бағдарламалық жасақтамасын (дайын шешімдер, қаптамадағы шешімдер) түрлі тапсырыс берушілерге сатсаңыз, таратсаңыз және/немесе лицензияласаныз, мұндай бағдарламалық жасақтама Secure Software Standard талаптарына сай болуы тиіс.

Secure Software Standard талаптарына сәйкестікті бағалаудың екі түрі бар:

толық сәйкестік бағалауы;
дельта-бағалау.

Толық бағалау тек білікті аудитор тарапынан жүргізіледі. Ал дельта-бағалаудан бағдарламалық жасақтамаға елеусіз өзгерістер енгізілген кезде, толық бағалау аралығында өту қажет. Дельта-бағалауды Secure SLC Qualified Vendor мәртебесі бар вендор дербес жүргізе алады. Мұндай мәртебеге қол жеткізу үшін бөлек стандарт – Secure SLC Standard қарастырылған.

Secure SLC Standard — бұл бағдарламалық жасақтама вендорларына төлем бағдарламалық жасақтамасының бүкіл өмірлік циклында оның қауіпсіздігін басқаруға қойылатын талаптар жиынтығын анықтайтын стандарт. Сертификациядан өткеннен кейін вендорға Secure SLC Qualified Vendor мәртебесі беріледі және ол білікті аудиторды тартпай-ақ дельта-бағалауды жүргізуге мүмкіндік алады.

Compliance Control PCI SSF екі стандарты бойынша да аудит жүргізуге құқылы

Compliance Control сізге ең жақсы тәжірибелер мен процестерді енгізуге көмектеседі, SSF талаптарына сәйкес қосымшаның дамуын қалай қамтамасыз ету керектігін көрсетеді, қажетті құжаттаманы (Implementation Guidance) қалай дайындау керектігі туралы кеңес береді және сізді екі стандарт бойынша да толық сәйкестік процесінде қолдайды.

Жобаның кезеңдері

1 кезең

Қолданыстағы жағдайды бағалау және SSF талаптарына (Secure Software Standard және/немесе Secure SLC Standard) сәйкес келмейтін тұстарды анықтау

Біз сіздің төлем бағдарламалық жасақтамаңызды (немесе төлем бағдарламалық жасақтама вендоры ретіндегі процестеріңізді) SSF стандарттарының талаптарына сәйкес растау процесін кеңес беруден және бағдарламалық жасақтамамен танысудан бастаймыз. Одан кейін бағдарламалық кодты тексереміз, лог-файлдардың мазмұнын, дерекқор жазбаларын қараймыз (құжаттамамен танысамыз және жобалау, әзірлеу, тестілеу, релиз, қолдау процестерін бақылау арқылы сіздің төлем бағдарламалық жасақтама вендоры ретіндегі қызметіңізді бағалаймыз).

Бірінші кезеңнің нәтижесі бойынша анықталған кемшіліктерді жою жөнінде ұсынымдар беріледі.

2 кезең

(Secure Software Standard және/немесе Secure SLC Standard) талаптарына сәйкестікті тексеру бойынша есепті дайындау

Біз дайындайтын есеп (Secure Software Standard бойынша Report of Validation және/немесе Secure SLC Standard бойынша Report of Compliance) кеңеске (PCI SSC):

• кеңес тарапынан құжаттарды сәтті қарау және валидациядан кейін, сіздің бағдарламалық жасақтамаңызды тексеруден өткен төлем бағдарламалық жасақтамасының тізіміне енгізу үшін

және/немесе

• кеңес тарапынан құжаттарды сәтті қарау және валидациядан кейін, сізді төлем бағдарламалық жасақтама вендоры ретінде ресми тізімге енгізу үшін жолданады.

Жоба нәтижелері

Secure Software Standard бойынша сертификациялық аудит нәтижелері бойынша біздің аудиторлар Attestation of Validation (AOV) құжатын береді және төлем бағдарламалық жасақтамасын тексеруден өткен төлем бағдарламалық жасақтамасы тізіміне енгізу үшін есептік құжаттаманы дайындайды.

Secure SLC Standard бойынша сертификациялық аудит нәтижелері бойынша біздің аудиторлар Attestation of Compliance (AOC) құжатын береді және бағдарламалық жасақтама вендорын Secure SLC стандарты талаптарына сәйкес келетін вендорлар тізіміне енгізу үшін есептік құжаттаманы дайындайды.

PCI SSF аудиті бойынша кеңес алу үшін бізге жазыңыз

және біз сізбен 30 минут ішінде байланысамыз