81
Выпущена новая версия стандарта PA-DSS
Cтандарт безопасности данных для программных приложений используется разработчиками, чтобы обеспечить надежную защиту от хищения данных при использовании их программных продуктов. ТСП и другие организации в мире используют программное обеспечение, проверенное на соответствие стандарту PA-DSS (PA-DSS Validated), что гарантирует им возможность безопасного приема платежей, как в физических магазинах, так и через Интернет. Использование такого ПО также помогает компаниям в их работе по обеспечению безопасности данных платежных карт в их системах и сетях, согласно требованиям более полного стандарта PCI DSS (PCI DSS).
PA-DSS версии 3.2 согласуется с недавним выпуском PCI DSS версии 3.2; оба эти стандарта направлены на защиту платежной информации клиентов от растущей угрозы. Обновления стандартов разработаны на основе отзывов, полученных от более 700 организаций-участников Совета PCI из разных регионов мира, выводов отчета о случаях утечки данных, а также с учетом изменений в сфере приема платежей.
«Использование надежного программного обеспечения и уверенность в том, что оно установлено корректно и правильно поддерживается, является важной частью защиты платежей», - подчеркивает генеральный директор Совета PCI SSC Стивен Орфей.
К важным изменениям в PA-DSS версии 3.2 относятся пояснения к существующим требованиям и обновление требований по приведению в соответствие с PCI DSS v3.2. Обновлены также подробные инструкции к продуктам поставщика («Руководство по внедрению PA-DSS»), которые объясняют, как правильно настроить платежные приложения, обеспечив их соответствие с PCI DSS. Это касается процедур безопасной установки исправлений и обновлений программ, а также инструкций по защите данных о держателях карт при использовании журналов отладки для устранения неполадок, поскольку они (журналы отладки) могут использоваться мошенниками в ряде случае компрометации данных.
«Мы видим, как неумение правильно настроить и исправить платежные приложения делает организации уязвимыми для атак, приводящих к массовой компрометации данных, - сказал директор по технологиям Совета PCI SSC Трой Лич (Troy Leach). - Именно поэтому в дополнение к обновлению PA-DSS для поддержки PCI DSS версии 3.2 мы добавили дополнительные инструкции, чтобы помочь интеграторам, реселлерам и другим организациям, внедряющим программное обеспечение оплаты, настроить его должным образом и защитить данные счетов, используемых для платежей».
Петр Шаповалов, инженер по защите информации компании Deiteriy, в комментарии порталу PLUSworld.ru:
"Рост угроз информационной безопасности в платежной индустрии побудил Совет PCI SSC выпустить внеплановые версии 3.1, а затем и 3.2 стандартов PCI DSS и PCI PA-DSS. И это правильно. Информационная безопасность – это процесс, который имеет начало, но не имеет конца, а следовательно, он также должен подстраиваться под новые угрозы.
В новой версии PCI PA-DSS большинство изменений действительно соответствуют изменениям основного стандарта PCI DSS. При этом в части защиты именно платежных приложений Совет PCI SSC старается закрыть, в том числе, очень важный риск – риск неправильного внедрения платежного приложения. На практике, в ходе QSA-аудитов я часто сталкиваюсь с тем, что купленное платежное приложение, имеющее сертификат PCI PA-DSS, не настроено в соответствии с требованиями PCI DSS. Причинами этому может быть то, что покупатели таких приложений полагаются на статус сертифицированного приложения и не считают необходимым что-либо настраивать в нем дополнительно, а иной раз документация к такому программному продукту оставляет желать лучшего. Отсюда, я считаю, и появились дополнительные требования PCI PA-DSS к Implementation Guide.
Думаю, с версией 3.2 стандарта безопасности PCI PA-DSS проблем при внедрении платежного приложения в PCI DSS compliance среду станет меньше. А на сколько эффективными эти требования будут для индустрии мы увидим в первый год работы со стандартом."
