Завершился семинар компании Digital Security, посвященный безопасности платежных приложений
Заголовок: Завершился семинар компании Digital Security, посвященный безопасности платежных приложений
Компания: Digital Security
14 сентября в Москве состоялся семинар "Безопасность платежных приложений: стандарт PA-DSS", который проводили компания Digital Security и Ассоциация Российских членов Европей совместно с Сообществом PCIDSS.RU. Основной целью мероприятия было распространение знаний о стандарте PA-DSS и безопасности платежных приложений.
Ведущими семинара традиционно выступили Илья Медведовский (Digital Security) и Евгений Балезин (АРЧЕ). Семинар посетили представители более чем 50 организаций, среди которых присутствовали представители топ-менеджмента и технических специалистов банков и компаний-разработчиков платежных приложений. Мероприятие прошло при информационной поддержке журнала "ПЛАС", "Аналитического банковского журнала", а также "Information Security", "Финансы и кредит", "NBJ", "Системный администратор".
Темы докладов, прозвучавших на семинаре, касались основных вопросов, которые зачастую возникают у компаний при подготовке и прохождении сертификации по стандарту PCI PA-DSS.
В первой части семинара Александр Поляков и Сергей Шустиков рассказали об основных требованиях стандарта PA-DSS, а также об этапах подготовки и сертификации в докладах "Основы PA-DSS" и "Сертификация приложения по PA-DSS".
Во второй части Евгений Безгодов подробно рассмотрел "Типовые ошибки в Implementation Guide" - одном из основных документов, который должен быть подготовлен при создании и поставке платежного приложения. Практическая часть семинара была представлена Александром Поляковым, который провел наглядную демонстрацию аудита безопасности платежного приложения, на глазах у зрителей обнаружив ряд критичных уязвимостей и показав тем самым, каким образом проводится аудит защищенности приложений, систем и тестирование на
проникновение "вручную", что соответствует, в том числе требованиям стандартов PCI и принципиально отличается от сканирования.
Третья часть семинара была открыта Александром Костиным ("Требования PA-DSS с точки зрения разработчика платежных приложений"), представителем компании сервис-провайдера Uniteller, которая обладает опытом сертификации по PCI DSS и является разработчиком программного обеспечения, в том числе для проведения расчетов банковскими картами и услуг интеграции. В ходе выступления было особо отмечено, что прохождение аудита по PA-DSS повышает конкурентоспособность платежных решений на рынке и позволяет разработчику существенно
снизить репутационные и финансовые риски, связанные с возможными инцидентами безопасности.
Игорь Голдовский рассказал "Об особенностях хранения, обработки и передачи платежных данных в терминалах, обслуживающих ограниченное количество карт", отметив, что стандарты PCI PA DSS/ PCI DSS определяют набор инструкций, выполнение которых позволяет снизить вероятность кражи карточных данных при их хранении, обработке и передаче. Павел Гужиков, представитель компании Step Up - разработчика решений в области удаленного обслуживания клиентской базы поставщиков финансовых услуг, которая является партнером Digital
Security, выступил с докладом о "Безопасности мобильных приложений", использование которых стало частой практикой в последнее время.
Этот семинар показал высокую степень актуальности вопросов безопасности платежных приложений и их сертификации по требованиям стандарта PA-DSS. Многие участники рынка платежных технологий уже приступили к реализации проектов достижения соответствия PA-DSS, другие участники всерьез задумываются о развитии планов в этом направлении. В заключение, участники семинара особенно отметили положительную тенденцию, заключающуюся в осознании разработчиками ПО высоких рисков, связанных с уязвимостями в приложениях, и важности
вопросов их защиты.
Илья Медведовский, Digital Security:
"Семинар является продолжением традиции проведения мероприятий в области PCI и PA-DSS, начало которой положила также организованная нами и АРЧЕ мартовская конференция "PCI DSS Russia". На наш взгляд, семинар позволил всесторонне подойти к вопросам внедрения стандарта PA-DSS, учитывая требования QSA-аудиторов, пожелания банков, которым необходимо уделять достаточное внимание обеспечению безопасности подключенных к ним торгово-сервисных предприятий и сервис-провайдеров, а также человеческие и финансовые возможности
самих разработчиков по обеспечению в процессе разработки платежных приложений необходимого уровня безопасности и, тем самым, выполнения требования PA-DSS".
Павел Гужиков, Step Up:
"Вопрос информационной безопасности финансовых приложений является "краеугольным" во всех отношениях. Его необходимо рассматривать в разрезе каждой сущности - подпадает она под какую-то сертификацию или нет. Спасибо компании Digital Security за освещение этих важных вопросов".