Приложение для POS-терминалов компании «Транзакционные системы» получило статус соответствия стандарту PA-DSS

В рамках данного проекта в начале 2010 года была проведена предварительная оценка приложения CISBase и процессов разработки/поддержки ПО в ООО «Транзакционные Системы». По итогам был подготовлен детальный план работ, целью которого было достижение соответствия требованиям PA-DSS. Для помощи в реализации плана и проведения последующей сертификации была привлечена компания «Информзащита», имеющая необходимый для проведения данных работ статус PA-QSA.

Необходимо отметить, что приложение CISBase работает с ограниченными правами в защищенной среде POS-терминала, причем все модели терминалов сертифицированы по стандарту, гарантирующему безопасную обработку PIN-кода (PCI PED). Поэтому изменения в приложении коснулись лишь хранения номеров карт: в рамках подготовки к сертификации по PA-DSS была обеспечена их надежная криптографическая защита, что является обязательным требованием стандарта PA-DSS. Процесс разработки программного обеспечения в компании «Транзакционные системы» на момент принятия решения о сертификации уже был построен с учетом лучших мировых практик, хорошо структурирован и контролируем, что позволило не вносить в него каких-либо существенных изменений. В ходе подготовки к сертификации компании потребовалась лишь незначительная доработка внутренней нормативной документации.

Компанией «Информзащита» были проведены сертификационные проверки подтвердившие, что приложение CISBase и процессы разработки/поддержки ПО в ООО «Транзакционные Системы» полностью соответствуют требованиям стандарта PA-DSS. Отчетные документы по результатам сертификационной проверки прошли контроль качества со стороны Совета по безопасности индустрии платежных карт (PCI SSC).

В мае 2011 года приложению CISBase версии 1.0.x был присвоен статус соответствия стандарту PA-DSS.

По словам Сергея Орешкова, Генерального директора компании «Транзакционные системы»: «С момента создания нашей компании мы ориентировались на лучший мировой опыт для построения процесса профессиональной разработки программного обеспечения. Структурированный подход к процедурам разработки, управления версиями, исправления ошибок и контроля качества ПО позволил нам достаточно легко обеспечить требования стандарта PA DSS в части процессов разработки и поддержки. В ходе сертификации у нас сложились конструктивные и доверительные отношения с департаментом аудита компании «Информзащита», хотя сам процесс сертификации не был таким однозначным и достаточно длительным по времени. Благодаря общим усилиям, мы добились положительного результата, и мы рады, что заказчики продукта CISBase первыми из российских пользователей ПОС-терминалов получают подтверждение на соответствие терминального платежного приложения самым передовым стандартам безопасности».

Заместитель директора департамента аудита компании «Информзащита» Анна Гольдштейн отметила: «Это был непростой проект, как для нас, так и для «Транзакционных Систем», так как CISBase стал первым программным продуктом, поданным на сертификацию российской компанией-аудитором. Однако со стороны разработчиков нам были предоставлены все возможные условия для эффективной организации процесса сертификации — начиная от доступа к исходному коду и заканчивая предоставлением оборудования для тестирования. Уникальный опыт, полученный на этом проекте, позволил нам оптимизировать свои работы в рамках других текущих, а также будущих, проектов по сертификации программного обеспечения».