Приложение для POS-терминалов компании «Транзакционные системы» получило статус соответствия стандарту PA-DSS

Компания «Транзакционные системы» и компания «Информзащита» объявляют об успешном завершении совместного проекта по сертификации приложения CISBase, разработанного компанией «Транзакционный системы» для POS-терминалов Hypercom. Приложение позволяет обеспечивать прием платежей карт для оплаты в торгово-сервисных предприятиях. По требованиям платежных систем VISA и MasterCard все приложения, участвующие в обработке транзакций авторизации или проведении расчетов по пластиковым картам (authorization or clearing/settlement) должны быть сертифицированы по стандарту PA-DSS.

В рамках данного проекта в начале 2010 года была проведена предварительная оценка приложения CISBase и процессов разработки/поддержки ПО в ООО «Транзакционные Системы». По итогам был подготовлен детальный план работ, целью которого было достижение соответствия требованиям PA-DSS. Для помощи в реализации плана и проведения последующей сертификации была привлечена компания «Информзащита», имеющая необходимый для проведения данных работ статус PA-QSA.

Необходимо отметить, что приложение CISBase работает с ограниченными правами в защищенной среде POS-терминала, причем все модели терминалов сертифицированы по стандарту, гарантирующему безопасную обработку PIN-кода (PCI PED). Поэтому изменения в приложении коснулись лишь хранения номеров карт: в рамках подготовки к сертификации по PA-DSS была обеспечена их надежная криптографическая защита, что является обязательным требованием стандарта PA-DSS. Процесс разработки программного обеспечения в компании «Транзакционные системы» на момент принятия решения о сертификации уже был построен с учетом лучших мировых практик, хорошо структурирован и контролируем, что позволило не вносить в него каких-либо существенных изменений. В ходе подготовки к сертификации компании потребовалась лишь незначительная доработка внутренней нормативной документации.

Компанией «Информзащита» были проведены сертификационные проверки подтвердившие, что приложение CISBase и процессы разработки/поддержки ПО в ООО «Транзакционные Системы» полностью соответствуют требованиям стандарта PA-DSS. Отчетные документы по результатам сертификационной проверки прошли контроль качества со стороны Совета по безопасности индустрии платежных карт (PCI SSC).

В мае 2011 года приложению CISBase версии 1.0.x был присвоен статус соответствия стандарту PA-DSS.

По словам Сергея Орешкова, Генерального директора компании «Транзакционные системы»: «С момента создания нашей компании мы ориентировались на лучший мировой опыт для построения процесса профессиональной разработки программного обеспечения. Структурированный подход к процедурам разработки, управления версиями, исправления ошибок и контроля качества ПО позволил нам достаточно легко обеспечить требования стандарта PA DSS в части процессов разработки и поддержки. В ходе сертификации у нас сложились конструктивные и доверительные отношения с департаментом аудита компании «Информзащита», хотя сам процесс сертификации не был таким однозначным и достаточно длительным по времени. Благодаря общим усилиям, мы добились положительного результата, и мы рады, что заказчики продукта CISBase первыми из российских пользователей ПОС-терминалов получают подтверждение на соответствие терминального платежного приложения самым передовым стандартам безопасности».

Заместитель директора департамента аудита компании «Информзащита» Анна Гольдштейн отметила: «Это был непростой проект, как для нас, так и для «Транзакционных Систем», так как CISBase стал первым программным продуктом, поданным на сертификацию российской компанией-аудитором. Однако со стороны разработчиков нам были предоставлены все возможные условия для эффективной организации процесса сертификации — начиная от доступа к исходному коду и заканчивая предоставлением оборудования для тестирования. Уникальный опыт, полученный на этом проекте, позволил нам оптимизировать свои работы в рамках других текущих, а также будущих, проектов по сертификации программного обеспечения».

2 июня, 2011

Смотрите также

На пятый IT&Security Forum в Казани соберутся более 300 участников

1 июня, 2011

Group-IB объявляет о запуске уникального сервиса BrandPointProtection, нацеленного на защиту брендов от интернет угроз

31 мая, 2011

DLP-система «Дозор-Джет» контролирует безопасность загрузки документов пользователями «ВКонтакте»

30 мая, 2011

Инфраструктурные решения \"Лаборатории Касперского\" прошли сертификацию ФСБ

27 мая, 2011

Компания «Код Безопасности» выступила Серебряным партнером VMware Forum 2011 в г. Москве

27 мая, 2011

Компания «Инфосистемы Джет» протестировала решение Trend Micro Deep Security 7.5

23 мая, 2011

18 мая 2011 г. в ресторане \"Зимний сад\" компания «Инфосистемы Джет» отметила Юбилей - 15 лет работы в области информационной безопасности

20 мая, 2011

18 мая 2011 года в г. Москве состоялась конференция VMware Partner Exchange 2011

20 мая, 2011

Приглашаем на IV Форум директоров по информационной безопасности

19 мая, 2011

Читалка

Вступило в силу Положение Центрального банка Российской Федерации от 17.08.2023 №821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств...

1 апреля, 2024

Вступил в силу ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».

1 апреля, 2024

Вступил в силу ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».

1 апреля, 2024

ФСТЭК России опубликованы «Сведения о принятых национальных и международных стандартах за I квартал 2024 года»

28 марта, 2024

ФСТЭК России опубликован проект национального стандарта ГОСТ Р «Защита информации. Формальная модель управления доступом.

28 марта, 2024

ФСТЭК России опубликован проект национального стандарта ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»

28 марта, 2024

ФСТЭК России опубликован проект национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»

28 марта, 2024

Календарь мероприятий

Новый номер

- BIS Journal №2(53)2024 -

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.04.2024
Банкиры просят продлить сроки импортозамещения «инософта»
19.04.2024
Россияне смогут получить ЭП за пределами страны
19.04.2024
В России появится консорциум по кибербезопасности ИИ
19.04.2024
Сразу несколько мессенджеров пропали из китайского App Store
18.04.2024
У нас есть GitHub дома. Вместо нацрепозитория готовое решение от вендора?
18.04.2024
Минэк создаст профильную комиссию по ИИ-расследованиям
18.04.2024
Видеоидентификация клиентов банков уже в этом году?
18.04.2024
Дано: смартфон. Форма: «Аквариус». Суть: «Лаборатория Касперского»
18.04.2024
Члены АБД утвердили отраслевой стандарт защиты данных
17.04.2024
ФСТЭК будет аттестовать не готовое ПО, а процесс его разработки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

© ООО Медиа Группа Авангард Все права защищены 2007-2024гг.