Jump to content

PA-DSS

Add links

Стандарт безопасности данных платежных приложений (PA-DSS) — это глобальный стандарт безопасности, созданный Советом по стандартам безопасности индустрии платежных карт (PCI SSC). [ 1 ] PA-DSS был внедрен с целью предоставить окончательный стандарт данных для поставщиков программного обеспечения , разрабатывающих платежные приложения. Целью стандарта было предотвратить хранение разработанными платежными приложениями для третьих лиц запрещенных защищенных данных, включая магнитную полосу , CVV2 или PIN-код . В этом процессе стандарт также требует, чтобы поставщики программного обеспечения разрабатывали платежные приложения, соответствующие стандартам безопасности данных индустрии платежных карт ( PCI DSS ).

В конечном итоге поддержка PA-DSS была прекращена в конце 2022 года, хотя существующие реализации, использующие приложения PA-DSS, не обязательно теряют статус соответствия. [ 2 ] С тех пор Совет PCI учредил новую программу проверки программного обеспечения — PCI Software Security Framework .

Требования

[ редактировать ]

Чтобы платежное приложение считалось соответствующим стандарту PA-DSS , поставщики программного обеспечения должны убедиться, что их программное обеспечение включает следующие четырнадцать средств защиты: [ 3 ]

  1. Не сохраняйте полные данные отслеживания, код или значение проверки карты (CAV2, CID, CVC2, CVV2) или данные PIN-блока.
  2. Защитите сохраненные данные держателей карт.
  3. Обеспечьте функции безопасной аутентификации.
  4. Регистрируйте активность платежных приложений.
  5. Разрабатывайте безопасные платежные приложения.
  6. Защитите беспроводную передачу.
  7. Тестируйте платежные приложения для устранения уязвимостей и обновляйте их.
  8. Содействие внедрению безопасной сети.
  9. Данные о держателях карт никогда не должны храниться на сервере, подключенном к Интернету.
  10. Обеспечьте безопасный удаленный доступ к платежному приложению.
  11. Шифруйте конфиденциальный трафик в общедоступных сетях.
  12. Защитите весь административный доступ, не связанный с консолью.
  13. Поддерживать Руководство по внедрению PA-DSS для клиентов, реселлеров и интеграторов.
  14. Назначьте обязанности персонала по стандарту PA-DSS и поддерживайте программы обучения для персонала, клиентов, реселлеров и интеграторов.

Управление и правоприменение

[ редактировать ]

PCI SSC составил список платежных приложений, которые были проверены на соответствие стандарту PA-DSS, и этот список обновляется с учетом соответствия платежным приложениям по мере их разработки. Создание и обеспечение соблюдения этих стандартов в настоящее время возлагается на PCI SSC через сертифицированных оценщиков безопасности платежных приложений (PA-QSA). PA-QSA проводят проверки платежных приложений, которые помогают поставщикам программного обеспечения обеспечить соответствие приложений стандартам PCI.

История

[ редактировать ]

Первоначально управляемый Visa Inc. под названием PABP, PA-DSS был запущен 15 апреля 2008 г. и обновлен 15 октября 2008 г. Затем PA-DSS задним числом стал обозначаться как «версия 1.1». [ 4 ] и «версия 1.2». [ 5 ]

В октябре 2009 года была выпущена версия PA-DSS v1.2.1 с тремя отмеченными изменениями: [ 3 ]

  1. В разделе «Область применения PA-DSS» согласуйте содержимое с Руководством программы PA-DSS версии 1.2.1, чтобы уточнить приложения, к которым применяется PA-DSS.
  2. В соответствии с Лабораторным требованием 6 исправлено написание слова «OWASP».
  3. В Подтверждении проверки, Часть 2a, обновите «Функциональность платежного приложения», чтобы она соответствовала типам приложений, перечисленных в Руководстве по программе PA-DSS, и уточните процедуры ежегодной повторной проверки в Части 3b.

В октябре 2010 года был выпущен PA-DSS 2.0. [ 6 ] указывает: обновить и внедрить незначительные изменения по сравнению с версией 1.2.1 и привести в соответствие с новым стандартом PCI DSS версии 2.0. Подробную информацию см. в документе PA-DSS — Обзор изменений по сравнению с версией PA-DSS 1.2.1 к версии 2.0.

В ноябре 2013 года был выпущен PA-DSS 3.0. [ 7 ] что указывает: Обновление PA-DSS v2. Подробную информацию об изменениях см. в документе PA-DSS — Обзор изменений с версии PA-DSS 2.0 на 3.0. [ 8 ]

В мае 2015 года был выпущен PA-DSS 3.1. [ 3 ] указывает: Обновление PA-DSS v3.0. Подробную информацию об изменениях см. в разделе PA-DSS — Обзор изменений от версии PA-DSS 3.0 до версии 3.1. [ 9 ]

В мае 2016 года была выпущена версия 3.2 Руководства по программе и стандартов PA-DSS. [ 10 ] [ 11 ] Подробности см. в разделе «Сводка изменений по сравнению с PA-DSS версии 3.1–3.2». [ 12 ]

Дополнительная информация

[ редактировать ]

PCI SSC опубликовал дополнительные материалы, разъясняющие PA-DSS, в том числе следующие:

  • Требования PA-DSS и процедуры оценки безопасности. [ 13 ] [ 14 ] [ 15 ]
  • Изменения по сравнению с прошлыми стандартами. [ 9 ]
  • Общее руководство по программе QSA. [ 16 ]

Ссылки

[ редактировать ]
  1. ^ Совет по стандартам безопасности PCI
  2. ^ Совет по стандартам безопасности PCI
  3. ^ Перейти обратно: а б с «Требования и процедуры оценки безопасности, версия 3.1» (PDF) . Проверено 27 января 2016 г.
  4. ^ «Стандарт безопасности данных платежных приложений (PA-DSS) V1.1» . Совет по стандартам безопасности PCI. Архивировано из оригинала 2 августа 2010 г.
  5. ^ «Стандарт безопасности данных платежных приложений (PA-DSS) V1.2» . Совет по стандартам безопасности PCI. Архивировано из оригинала 2 августа 2010 г.
  6. ^ «Требования к стандарту безопасности данных платежных приложений индустрии платежных карт (PCI) и процедуры оценки безопасности: версия 2.0» (PDF) . Совет по стандартам безопасности PCI . Проверено 22 апреля 2017 г.
  7. ^ «Стандарт безопасности данных платежных приложений индустрии платежных карт (PCI): требования и процедуры оценки безопасности: версия 3.0» (PDF) . Совет по стандартам безопасности PCI . Проверено 22 апреля 2017 г.
  8. ^ Сводка изменений по сравнению с PA-DSS версии 2.0 до 3.0.
  9. ^ Перейти обратно: а б Сводка изменений по сравнению с версией PA-DSS 3.0 к версии 3.1
  10. ^ «Стандарт безопасности данных платежных приложений (PA-DSS) v3.2 индустрии платежных карт (PCI): Руководство по программе» (PDF) . Совет по стандартам безопасности PCI . Май 2016 года . Проверено 22 апреля 2017 г.
  11. ^ «Стандарт безопасности данных платежных приложений индустрии платежных карт (PCI): требования и процедуры оценки безопасности: версия 3.2» (PDF) . Совет по стандартам безопасности PCI . Проверено 22 апреля 2017 г.
  12. ^ «Официальный сайт Совета по стандартам безопасности PCI — проверьте соответствие PCI, загрузите стандарты безопасности данных и безопасности кредитных карт» (PDF) . www.pcisecuritystandards.org . Проверено 22 апреля 2017 г.
  13. ^ Требования PA-DSS и процедуры оценки безопасности v1.2.1
  14. ^ Требования PA-DSS и процедуры оценки безопасности, версия 2.0.
  15. ^ Требования PA-DSS и процедуры оценки безопасности, версия 3.
  16. ^ Руководство по программе PA-DSS 3.2
Retrieved from "https://en.wikipedia.org/w/index.php?title=PA-DSS&oldid=1218770573"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: fd9e834df71c388c81a720d3c5e7f579__1713024240
URL1:https://arc.ask3.ru/arc/aa/fd/79/fd9e834df71c388c81a720d3c5e7f579.html
Заголовок, (Title) документа по адресу, URL1:
PA-DSS - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)