Блог

Подлежит ли приложение сертификации по PA-DSS?

Автор: Сергей Шустиков

Производители платежных приложений обращаются с вопросами, посвященными процессу сертификации приложений по стандарту PA-DSS. Значительная часть вопросов посвящена тому, подлежит или нет приложение сертификации по этому стандарту.

В общем случае правила Совета PCI SSC говорят о том, что сертификации по PA-DSS подлежит приложение, которое обрабатывает, передает или хранит карточные данные в процессе авторизации транзакции или выполнения взаиморасчетов (authorization or settlement). Кроме того, рассматриваются только те приложения, которые продаются производителем неограниченному кругу конечных пользователей. Это означает, что разработка программного обеспечения на заказ для одного клиента не попадает под программу сертификации по PA-DSS, равно как и разработка приложения для собственных нужд. В этих случаях безопасность обработки карточных данных платежным приложением будет проверена в ходе QSA-аудита на соответствие стандарту PCI DSS той инфраструктуры, где оно внедрено.

Однако существуют нюансы, связанные с тем, какую роль выполняет приложение в платежном процессе. Есть 13 вопросов, ответы на которые помогут определить, подлежит ли приложение сертификации по PA-DSS. Они приведены здесь.

0

Добавить комментарий