WEBPAY - PCIDSS

 WEBPAY очередной раз подтвердил высокий статус соответствия международным стандартам PCIDSS!

PSIDSS: Стандарт разработан международными платёжными системами Visa и MasterCard. Объединяет в себе требования ряда программ по защите информации, в частности:
Visa в Европе — Account Information Security (AIS);
Visa в США — Cardholder Information Security (CISP);
MasterCard — Site Data Protection (SDP).

Требования стандарта распространяются на компании, работающие с международными платёжными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

С сентября 2006 года стандарт введён международной платёжной системой Visa на территории региона CEMEA (центральная и восточная Европа, Ближний Восток и Африка).

Аудит проводился немецкой компанией SRC, аккредитованной Visa/MasterCard!

Квалификации компании SRC.
SRC является независимой консалтинговой компанией, которая была основана в 2000 году четырьмя немецкими банковскими сервис - провайдерами как совместный центр совершен-ствования платежных систем и безопасности ИТ.
SRC широко известная и уважаемая компания с опытными и высококвалифицированными сотрудниками, некоторые из которых работают консультантами в области безопасности ИТ более 25 лет. Миссия SRC – стать ведущей консалтинговой компанией по продуктам и сер-висам, которые связаны с созданием и реализацией систем с высоким уровнем безопасности ИТ для банковской индустрии, финансовых институтов или страховых компаний, розничного сектора, публичных сервисов или предпринимателей. Спектр профессиональных услуг компании SRC включает большое разнообразие консалтинговых услуг, а также услуг по под-готовке и поддержке своих клиентов.
Как независимый консультант, SRC осуществляет сопровождение клиентов по различным вопросам безопасности ИТ, а также проектирует, разрабатывает, оценивает и сертифицирует приложения в области безопасности ИТ как в целом, так и и в областях электронных пла-тежных транзакций, ЧИПовых карт, электронной и мобильной коммерции, а также, электрон-ных подписей или безопасности специализированных компьютерных сетей.
Независимость SRC обусловлена следующим:
• SRC не аффилирована с каким-либо производителем программного или аппаратного обеспечения;
• SRC сфокусирована на консалтинге и не предлагает каких-либо аппаратных или про-граммных продуктов;
• SRC предоставляет сервис не только в банковском секторе, но и для небанковских организаций (более 50% оборота SRC приходится на проекты вне банковского секто-ра).
SRC придерживается высоких этических стандартов и практик ведения бизнеса. Компания подтверждает, что никогда не была замешана в каких-либо мошеннических или криминальных действиях. SRC разработан кодекс поведения, который устанавливает обязанности и действия сотрудников, в том числе менеджеров и консультантов.

• В 2003 году, SRC стала первой компанией в мире, которая успешно прошла процесс аккредитации в системах MasterCard и Visa. С тех пор, SRC уполномочена проводить проверки безопасности от имени платежных систем.
• SRC уполномочена MasterCard на проведение аудитов по оценке соответствия MasterCard Security Requirements для Mobile Provisioning, также известного как Over The Air Personalisation.
• SRC является аккредитованным аудитором “Logical Security” и “Physical Security” по оценке компаний по персонализации карт по программе MasterCard Global Vendor Compliance Programme.
• SRC аккредитована MasterCard как эксперт по оценке безопасности MasterCard CAST.
• PCI PED и EPP утвердили SRC в качестве компании по оценке безопасности устройств ввода PIN и шифрования PIN-Pads .
• MasterCard PTS утвердил SRC в качестве компании по оценке платежных терминалов, построенных на базе IP, включая WLAN, GSM, UMTS терминалы.
• SRC может выполнять оценки в соответствии с Общими Критериями оценки безопас-ности ИТ - Common Criteria (ISO 15408). SRC аккредитована German Federal Office for Information Security (BSI , certification number BSI-APS-9026-2002) и выполнила большое количество оценок безопасности операционных систем и приложений (банковских, телекоммуникационных, телематических, здравоохранения), профайлов защиты (Protection Profile) и других экземпляров программного обеспечения.
• SRC совместно с Federal Office for Information Security (BSI) внесла вклад в развитие Common Criteria Версия 3.1 и участвовала во многих рабочих группах Common Criteria Management Board (CCMB) и ISO.
• SRC аккредитована ZKA (Zentraler Kreditausschuss) – управлением немецкой банков-ской ассоциации, на проведение оценки безопасности компонентов смарт-карт, PIN-Pads, аппаратных модулей безопасности, концепций безопасности и т.д., которые ис-пользуются в дебетной платежной сети Германии.
• SRC провела комплексный анализ различных платежных приложений, используемых в Германии (дебит, кредит, пре – пейд, включая POS терминалы и ATM) для Евро-пейского Центрального Банка от лица ZKA и немецкого Bundesbank (Немецкий цен-тральный банк).
• SRC разрабатывает и поддерживает приложения, используемые в Германии для пре – пейд и дебитных карт (известные как GeldKarte, ec-Karte и Girocard) и предоставляет спецификации, концепции безопасности, схемы утверждения и тестовые инструменты для немецкой банковской ассоциации ZKA (Zentraler Kreditausschuss). SRC участвовала в разработке спецификаций EMV, вносила поправки к CIR (Common Im-plementation Requirements) и CPA (Common Payment Applications).
• SRC, также работает в различных рабочих группах SEPA по стандартизации евро-пейского рынка, с целью улучшения эффективности платежной схемы. Так SRC внесла свой вклад в:
- Common Approval Scheme (CAS) – рабочая группа по стандартизации безопас-ности POS терминалов в Европе (см. http://www.berlin-group.org/related-cas.html);
- Стандарт Berlin Group Еврозоны, используемый для двусторонне-го/многостороннего процессирования карточных транзакций (см. http://www.berlin-group.org/);
- Рабочую группу EPAS (Electronic Protocols Application Software), которая раз-рабатывает серию протоколов передачи данных, предназначенных для вне-дрения в среду организации точек взаимодействия (POI); (см. http://en.wikipedia.org/wiki/EPAS).

SRC стала первой компанией в мире , которой присвоены все
аккредитации:
- PCI Qualified Security Assessor (PCI QSA),
- PCI Approved Scanning Vendor (PCI ASV),
- PCI Payment Application Qualified Security Assessor (PA-QSA)
- Лаборатория для тестирования PCI PIN Entry Devices (PCI PED Lab)
от PCI SSC.
Более того, SRC аккредитована системами MasterCard и Visa, как Qualified Incident Response Assessor (QIRA) и как Qualified Forensic Investigator (QFI) соответственно, для проведения судебных анализов относительно компрометации данных платежных карт.