Содержание |
PA-DSS — стандарт безопасности платежных приложений (Payment Application Data Security Standard), основанный на требованиях Visa Inc. Payment Application Best Practices (PABP) и направленный на поддержку выполнения требований стандарта PCI DSS. PA DSS разработан и принят в 2008 году Советом по безопасности индустрии платежных карт (PCI SSC). По требованиям платежных систем VISA и MasterCard все приложения, участвующие в обработке транзакций авторизации или проведения расчетов по пластиковым картам (authorization or clearing/settlement), должны быть сертифицированы по стандарту PA-DSS.
2019: SPoC Standard придет на смену PA DSS Impact
30 мая 2019 года стало известно, что поддержка стандарта PA DSS Impact закончится к 2022 году, после чего Совет по стандартам безопасности индустрии платежных карт PCI SSC предложит клиентам использовать SPoC Standard.
Об этом заявил директор европейского отделения Совета по стандартам безопасности индустрии платежных карт PCI SSC Джереми Кинг (Jeremy King).
По его словам, это способ, который позволит принимать платежи по картам через телефон с функцией чтения карт. Приложение будет обладать безопасным интерфейсом. PIN-код в предложенном стандарте будет шифроваться, проходить в систему, и только после этого отправляться в системы банка. По мнению Д. Кинга, это быстрый и простой способ расширения доступности таких платежей.
Кроме того, эксперт сообщил о проведении обновления стандарта безопасности PIN. В стандарте будет предусмотрена специальная программа оценки PIN, в которой эксперт-оценщик проанализирует состояние безопасности кода.
Как отметил Д. Кинг, современные преступники кражей данных стараются их монетизировать. Как следствие, обеспечение безопасности платежей является общемировым вызовом.
Для эффективного противодействия изменениям в мошеннических техниках, 6 из 14 существующих на май 2019 года стандартов на всем цикле прохождения платежа будут обновлены до конца 2019 года, отметил Д. Кинг.
Среди них – основной стандарт защиты платежей PCI DAAT Security Standard. Ожидается, что в октябре компания получит запрос на обратную связь от экспертов по обновлению этого стандарта.
Еще одно изменение ожидается для стандарта оценки программного обеспечения Secure Software. Для этого разработчикам, как рассказал эксперт, предстоит полный цикл эксплуатации и валидации ПО, после чего к концу 2019 года будет презентована программа[1].
2016: PA-DSS 3.2
Совет по стандартам безопасности индустрии платежных карт (PCI SSC) опубликовал весной 2016 года версию 3.2 стандарта безопасности данных для платежного программного обеспечения PA-DSS. Cтандарт безопасности данных для программных приложений используется разработчиками, чтобы обеспечить защиту от хищения данных при использовании их программных продуктов. ТСП и другие организации в мире используют программное обеспечение, проверенное на соответствие стандарту PA-DSS (PA-DSS Validated), что гарантирует им возможность безопасного приема платежей, как в физических магазинах, так и через Интернет. Использование такого ПО также помогает компаниям в их работе по обеспечению безопасности данных платежных карт в их системах и сетях, согласно требованиям более полного стандарта PCI DSS (PCI DSS).
PA-DSS версии 3.2 согласуется с недавним выпуском PCI DSS версии 3.2; оба эти стандарта направлены на защиту платежной информации клиентов от растущей угрозы. Обновления стандартов разработаны на основе отзывов, полученных от более 700 организаций-участников Совета PCI из разных регионов мира, выводов отчета о случаях утечки данных, а также с учетом изменений в сфере приема платежей.
К важным изменениям в PA-DSS версии 3.2 относятся пояснения к существующим требованиям и обновление требований по приведению в соответствие с PCI DSS v3.2. Обновлены также подробные инструкции к продуктам поставщика («Руководство по внедрению PA-DSS»), которые объясняют, как правильно настроить платежные приложения, обеспечив их соответствие с PCI DSS. Это касается процедур безопасной установки исправлений и обновлений программ, а также инструкций по защите данных о держателях карт при использовании журналов отладки для устранения неполадок, поскольку они (журналы отладки) могут использоваться мошенниками в ряде случае компрометации данных.
Смотрите также:
- PCI DSS - Payment Card Industry Data Security Standard - Стандарт защиты информации в области платежных карт
- Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)