ООО «Транзакционные Системы» является одним из лидеров в области разработки ПО для эквайринговых решений на территории СНГ. Компания была основана в 2002 году. Программное обеспечение компании используют более 100 банков и процессинговых центров на территории России, Казахстана, Белоруссии, Армении, Азербайджана, Узбекистана, Эстонии, Латвии, Литвы, и других стран Европы.
Потребности бизнеса
CISBase — приложение для POS-терминалов Hypercom, разработанное компанией «Транзакционные системы». CISBase обеспечивает прием платежных карт для оплаты в торгово-сервисных предприятиях.
По требованиям платежных систем VISA и MasterCard все приложения, участвующие в обработке транзакций авторизации или проведении расчетов по пластиковым картам (authorization or clearing/settlement), должны быть сертифицированы по стандарту PA-DSS.
Задачи
В рамках проекта перед компанией «Информзащита» ставились следующие задачи:
- Предложение компании «Транзакционные системы» оптимальных решений по выполнению требований PA-DSS и консультационная поддержка при их реализации;
- Проведение процедуры сертификации и согласование ее результатов с регулятором (PCI SSC).
Решение
В начале 2010 года была проведена предварительная оценка приложения CISBase и процессов разработки/поддержки ПО в ООО «Транзакционные Системы». По итогам был подготовлен детальный план работ, целью которого являлось достижение соответствия требованиям PA-DSS. Для помощи в реализации плана и проведения последующей сертификации была привлечена компания «Информзащита», обладающая статусом PA-QSA, необходимым для проведения данных работ.
Следует отметить, что приложение CISBase работает с ограниченными правами в защищенной среде POS-терминала, причем все модели терминалов сертифицированы по стандарту, гарантирующему безопасную обработку PIN-кода (PCI PED). По этой причине изменения в приложении коснулись лишь хранения номеров карт: в рамках подготовки к сертификации по PA-DSS была обеспечена их надежная криптографическая защита, что является обязательным требованием стандарта PA-DSS.
На момент принятия решения о сертификации процесс разработки программного обеспечения в компании «Транзакционные системы» уже был построен с учетом лучших мировых практик, хорошо структурирован и контролируем. Это позволило не вносить в него каких-либо существенных изменений. Для сертификации компании потребовалась лишь незначительная доработка внутренней нормативной документации.
Результат
В результате сертификационной проверки, проведенной компанией «Информзащита», было подтверждено полное соответствие приложений CISBase и процессов разработки/поддержки ПО в ООО «Транзакционные Системы» требованиям стандарта PA-DSS. Отчетные документы по результатам сертификационной проверки прошли контроль качества со стороны Совета по безопасности индустрии платежных карт (PCI SSC).
18-го мая 2011-го года PCI SSC завершил процедуру сертификации и подтвердил присвоение приложению CISBase версии 1.0.x статуса соответствия стандарту PA-DSS.
Сергей Орешков, генеральный директор компании «Транзакционные системы», отмечает: «С момента создания нашей компании мы ориентировались на лучший мировой опыт для построения процесса профессиональной разработки программного обеспечения. Структурированный подход к процедурам разработки, управления версиями, исправления ошибок и контроля качества ПО позволил нам достаточно легко обеспечить требования стандарта PA DSS в части процессов разработки и поддержки. В ходе сертификации у нас сложились конструктивные и доверительные отношения с департаментом аудита компании «Информзащита». При этом сам процесс сертификации оказался не таким однозначным и достаточно длительным по времени. Благодаря общим усилиям, мы добились положительного результата, и мы рады, что заказчики продукта CISBase первыми из российских пользователей ПОС-терминалов получают подтверждение на соответствие терминального платежного приложения самым передовым стандартам безопасности».
Анна Гольдштейн, заместитель директора департамента аудита компании «Информзащита», считает: «Это был непростой проект, как для нас, так и для «Транзакционных Систем», поскольку CISBase стал первым программным продуктом, поданным на сертификацию российской компанией-аудитором. Однако со стороны разработчиков нам были предоставлены все возможные условия для эффективной организации процесса сертификации – начиная от доступа к исходному коду и заканчивая предоставлением оборудования для тестирования. Уникальный опыт, полученный на этом проекте, позволил нам оптимизировать свои работы в рамках других текущих, а также будущих проектов по сертификации программного обеспечения».
Справка
PA-DSS — стандарт безопасности платежных приложений (Payment Application Data Security Standard), основанный на требованиях Visa Inc. Payment Application Best Practices (PABP) и направленный на поддержку выполнения требований стандарта PCI DSS. PA DSS разработан и принят в 2008 году Советом по безопасности индустрии платежных карт (PCI SSC).
В настоящий момент VISA Inc. и MasterCard Worldwide определены обязательные к выполнению сроки по завершению перехода на использование сертифицированных приложений для всех регионов, в том числе для стран CEMEA (1-го июля 2010-го года – для всех новых подключений агентов и предприятий торгово-сервисной сети и 1-го июля 2012-го года – для всех подключенных участников платежей).