PA-DSS - PA-DSS - Wikipedia

The Standard zabezpečení údajů o platební aplikaci (PA-DSS), dříve označovaný jako Platební osvědčené postupy (PABP), je globální bezpečnostní standard vytvořený Rada pro bezpečnostní standardy v odvětví platebních karet (PCI SSC).[1] PA-DSS byl implementován ve snaze poskytnout definitivní datový standard pro software prodejci, kteří vyvíjejí platební aplikace. Cílem tohoto standardu je zabránit rozvinutým platebním aplikacím pro třetí strany v ukládání zakázaných zabezpečených dat včetně magnetický proužek, CVV2 nebo KOLÍK. V tomto procesu standard také stanoví, že prodejci softwaru vyvíjejí platební aplikace, které jsou v souladu se standardy zabezpečení dat v odvětví platebních karet (PCI DSS ).

Nakonec bude PA-DSS a jeho validační program začleněn do Rámec zabezpečení softwaru PCI. Plánuje se, že PA-DSS bude vyřazen koncem roku 2022, jakmile bude dosaženo data vypršení platnosti žádostí o platbu ověřených na PA-DSS v3.2.

Požadavky

K posouzení žádosti o platbu PA-DSS vyhovující, prodejci softwaru musí zajistit, aby jejich software obsahoval následujících čtrnáct ochranných opatření:[2]

  1. Neuchovávejte úplná data stopy, ověřovací kód karty nebo hodnotu (CAV2, CID, CVC2, CVV2) ani data blokující PIN.
  2. Chraňte uložená data držitelů karet.
  3. Poskytují funkce zabezpečeného ověřování.
  4. Aktivita aplikace platebních protokolů.
  5. Vyvíjejte zabezpečené platební aplikace.
  6. Chraňte bezdrátové přenosy.
  7. Otestujte platební aplikace, abyste zjistili zranitelnost a udržovali aktualizace platebních aplikací.
  8. Usnadněte implementaci zabezpečené sítě.
  9. Data držitelů karet se nikdy nesmí ukládat na server připojený k internetu.
  10. Usnadněte bezpečný vzdálený přístup k platební aplikaci.
  11. Šifrujte citlivý provoz přes veřejné sítě.
  12. Zabezpečte veškerý přístup pro správu bez konzoly.
  13. Udržujte průvodce implementací PA-DSS pro zákazníky, prodejce a integrátory.
  14. Přiřaďte personálu odpovědnost za PA-DSS a udržujte vzdělávací programy pro personál, zákazníky, prodejce a integrátory.

Správa a vymáhání

PCI SSC sestavil a seznam žádostí o platbu které byly ověřeny jako vyhovující PA-DSS, přičemž seznam je aktualizován tak, aby odrážel vyhovující platební aplikace při jejich vývoji. Tvorba a prosazování těchto standardů v současné době spočívá na PCI SSC prostřednictvím Platební aplikace -Kvalifikovaní hodnotitelé zabezpečení (PA-QSA). PA-QSA provádějí kontroly platebních aplikací, které pomáhají prodejcům softwaru zajistit, aby aplikace byly v souladu se standardy PCI.

Dějiny

Původně řízeno Visa Inc., pod přezdívkou PABP, byl PA-DSS spuštěn 15. dubna 2008 a aktualizován 15. října 2008. PA-DSS se poté se zpětnou platností odlišuje jako „verze 1.1“[3] a „verze 1.2“.[4]

V říjnu 2009 byl vydán PA-DSS v1.2.1 se třemi významnými změnami:[2]

  1. V části „Rozsah PA-DSS“ sladěte obsah s Průvodcem programem PA-DSS, v1.2.1, abyste objasnili aplikace, na které se PA-DSS vztahuje.
  2. V části Laboratorní požadavek 6 opravený pravopis „OWASP“.
  3. V části Osvědčení o ověření, část 2a, aktualizujte „Funkce žádosti o platbu“ tak, aby byla v souladu s typy aplikací uvedenými v Průvodci programem PA-DSS, a objasněte každoroční postupy opětovného ověření v části 3b.

V říjnu 2010 byl vydán PA-DSS 2.0,[5] označující: Aktualizujte a implementujte drobné změny z v1.2.1 a přizpůsobte se novému PCI DSS v2.0. Podrobnosti najdete v PA-DSS - Souhrn změn z PA-DSS verze 1.2.1 na 2.0.

V listopadu 2013 byl vydán PA-DSS 3.0,[6] označující: Aktualizace z PA-DSS v2. Podrobnosti o změnách najdete v PA-DSS - Souhrn změn z PA-DSS verze 2.0 na 3.0.[7]

V květnu 2015 byl vydán PA-DSS 3.1[2] označující:Aktualizace z PA-DSS v3.0. Podrobnosti o změnách najdete v PA-DSS - Souhrn změn z PA-DSS verze 3.0 na 3.1.[8]

V květnu 2016 byla vydána verze 3.2 Průvodce programem a standardy PA-DSS.[9][10] Podrobnosti viz Souhrn změn z PA-DSS verze 3.1 na 3.2.[11]

Kongresová pozornost

31. Března 2009 Sněmovna reprezentantů Spojených států „Výbor pro Vnitřní bezpečnost svolán k diskusi o proudu PCI DSS požadavky.[12] Zástupci jako např Yvette Clarková (D-NY) vyjádřili zájem o zvýšení síly standardů, zatímco ostatní, jako např Bennie Thompson (D-Miss.) Vyjádřila pochybnosti, že v budoucnu budou stačit standardy vytvořené průmyslem.[13]Zatímco Kongresová pozornost byla zaměřena převážně na PCI DSS, kritika standardů vydavatelů karet by mohla nakonec přinést Kongresové nebo právní zaměření na PA-DSS a na PCI SSC jako entitu.

Budoucnost

Budoucnost těchto standardů je poněkud vágní, pozornost Kongresu vede k možnosti vládní intervence. Bez ohledu na to může být dodržování standardů pro dodavatele softwaru nákladné a časově náročné, přičemž současné náklady na certifikaci PA-DSS převyšují ostatní metody dodržování předpisů. Vzhledem k nákladům na dodržování předpisů a certifikaci by se na trhu s dodržováním standardů PCI mohly objevit současné nebo dosud neurčené alternativy. Visa USA oznámila agresivnější tlak na tuto technologii (čip a pin) v srpnu 2011.[14]

Doplňující informace

PCI SSC zveřejnilo další materiály, které dále objasňují PA-DSS, včetně následujících:

  • Požadavky PA-DSS a postupy posuzování bezpečnosti.[15][16][17]
  • Změny oproti minulým standardům.[8]
  • Obecný programový průvodce pro QSA.[18]

Reference

  1. ^ Rada pro bezpečnostní standardy PCI
  2. ^ A b C „Požadavky a postupy posuzování zabezpečení verze 3.1“ (PDF). Citováno 27. ledna 2016.
  3. ^ „Platební aplikace Data Security Standard (PA-DSS) V1.1“. Rada pro bezpečnostní standardy PCI. Archivovány od originál dne 2. 8. 2010.
  4. ^ „Platební aplikace Data Security Standard (PA-DSS) V1.2“. Rada pro bezpečnostní standardy PCI. Archivovány od originál dne 2. 8. 2010.
  5. ^ „Platební karta (PCI) Platební aplikace Požadavky na zabezpečení dat Standardní požadavky a postupy posuzování zabezpečení: Verze 2.0“ (PDF). Rada pro bezpečnostní standardy PCI. Citováno 2017-04-22.
  6. ^ „Platební karta (PCI) Platební aplikace Standard zabezpečení dat: Požadavky a postupy posuzování zabezpečení: Verze 3.0“ (PDF). Rada pro bezpečnostní standardy PCI. Citováno 2017-04-22.
  7. ^ Souhrn změn z PA-DSS verze 2.0 na 3.0
  8. ^ A b Souhrn změn z PA-DSS verze 3.0 na 3.1
  9. ^ „Payment Card Industry (PCI) Payment Application Data Security Standard (PA-DSS) v3.2: Program Guide“ (PDF). Rada pro bezpečnostní standardy PCI. Květen 2016. Citováno 2017-04-22.
  10. ^ „Platební karta (PCI) Platební aplikace Standard zabezpečení dat: Požadavky a postupy posuzování zabezpečení: Verze 3.2“ (PDF). Rada pro bezpečnostní standardy PCI. Citováno 2017-04-22.
  11. ^ „Oficiální stránka Rady pro standardy zabezpečení PCI - Ověření souladu s PCI, stažení standardů zabezpečení dat a zabezpečení kreditních karet“ (PDF). www.pcisecuritystandards.org. Citováno 2017-04-22.
  12. ^ „Snižují průmyslové datové standardy platebních karet počítačovou kriminalitu?“. Výbor pro vnitřní bezpečnost USA. 31. března 2009. Archivovány od originál dne 02.12.2009.
  13. ^ Visa, MasterCard v bezpečnostním sedadle
  14. ^ „Visa oznamuje plány na urychlení migrace čipů a přijetí mobilních plateb“ (Tisková zpráva). Vízum. 9. srpna 2011. Archivovány od originál dne 23. 9. 2011.
  15. ^ Požadavky PA-DSS a postupy posuzování bezpečnosti v1.2.1
  16. ^ Požadavky PA-DSS a postupy posuzování bezpečnosti v2.0
  17. ^ Požadavky PA-DSS a postupy posuzování bezpečnosti v3
  18. ^ Průvodce programem PA-DSS 3.2