В мае 2011 г. веб-приложение X-Payments 1.0, разработанное компанией «Креативная разработка» прошло сертификацию на соответствие требованиям международного стандарта безопасности данных платежных приложений (PA-DSS[1]).
Основным мотивом прохождения сертификации стали требования, предъявляемые международными платежными системами к безопасности платежных приложений, обрабатывающих данные держателей карт. Таким приложением является новый продукт компании «Креативная разработка» — веб-приложение X-Payments 1.0, выступающее посредником между покупателями интернет-магазинов и платежными шлюзами при оплате с использованием платежных карт. В соответствии с требованиями международных платежных систем подобное приложение должно соответствовать требованиям стандарта PA-DSS и быть сертифицировано. Кроме того, для компании «Креативная разработка» было важно получить независимую оценку защищенности приложения.
Для реализации этого проекта была выбрана компания «Информзащита» — лидер российского рынка PCI Compliance. В рамках данного проекта специалисты компании провели предварительную оценку и подготовили детальный план работ, целью которого было достижение соответствия требованиям PA-DSS.
По результатам предварительной оценки, в целях сокращения объема работ и повышения уровня доверия, было принято совместное решение — исключить функцию хранения данных карт после прохождения процесса авторизации. Для обеспечения удаленного доступа была выработана и внедрена схема двухфакторной аутентификации пользователей. Также, незначительные изменения коснулись системы протоколирования и парольной политики пользователей.
В ходе предварительной оценки был отмечен высокий уровень процесса разработки программного обеспечения в компании «Креативная разработка». При подготовке к сертификации к его обязательным стадиям были добавлены работы по анализу исходного кода, а также формализовано проведение тестирования приложения на предмет безопасности. Данные изменения позволили не только выполнить требования стандарта, но и повысить уровень защищенности разрабатываемого компанией программного обеспечения.
По завершению всех работ компанией «Информзащита» был проведен сертификационный аудит. Результаты сертификационных проверок, подтвердивших соответствие приложения требованиям стандарта PA-DSS, прошли контроль качества со стороны Совета по безопасности индустрии платежных карт (PCI SSC).
В мае 2011 года Совет по безопасности индустрии платежных карт (PCI SSC) присвоил приложению X-Payments 1.0 компании «Креативная разработка» статус соответствия стандарту PA-DSS.
По словам Юрия Зайцева, заместителя генерального директора по производству компании «Креативная разработка»: «Для нашей компании ценность достигнутого результата состоит в том, что у наших клиентов появился недорогой способ привести свои интернет-магазины в соответствие с требованиями международных платежных систем, а так же в том, что мы получили независимое подтверждение качества и безопасности нашего продукта, что в свою очередь влечет укрепление доверия со стороны клиентов, а также получение преимущества перед конкурентами».
Заместитель директора департамента аудита компании «Информзащита» Анна Гольдштейн отметила: «Сертификация приложений — сложный, но всегда интересный процесс, требующий максимальной двусторонней отдачи. Конструктивное и плодотворное взаимодействие с сотрудниками «Креативной разработки» помогло выработать оптимальные решения для реализации требований стандарта и успешно пройти этап сертификации».
[1] Payment Application Data Security Standard (Стандарт безопасности данных платежных приложений) — это набор требований к безопасности платежных приложений, обрабатывающих данные держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover. Цель разработки стандарта PA-DSS — повысить защищенность платежных приложений и помочь в выполнении требований PCI DSS. В настоящее время, по требованиям VISA и MasterCard, все банки-эквайеры при подключении новых торгово-сервисных предприятий должны проверять, что они используют только платежные приложения, сертифицированные по стандарту PA-DSS. К 12 июля 2012 года уже все ранее подключенные участники платежного процесса должны будут использовать сертифицированные по PA-DSS приложения.