22 октября 2013, 16:03
Количество просмотров 148

Digital Security провела семинар, посвященный безопасности платежных приложений

14 сентября 2010г. в Москве состоялся семинар «Безопасность платежных приложений: стандарт PA-DSS». Организаторами мероприятия выступили...
Digital Security провела семинар, посвященный безопасности платежных приложений

14 сентября 2010г. в Москве состоялся семинар «Безопасность платежных приложений: стандарт PA-DSS». Организаторами мероприятия выступили компания Digital Security и Ассоциация Российских членов Европей и Сообщество PCIDSS.RU. Генеральным медиапартнером мероприятия стал журнал «ПЛАС».

Основной целью мероприятия являлось распространение знаний о стандарте PADSS и безопасности платежных приложений. Ведущими семинара традиционно выступили Илья Медведовский (Digital Security) и Евгений Балезин (АРЧЕ). Семинар посетили представители более чем 50 организаций: TOP-менеджеры и технические специалисты банков и компаний-разработчиков платежных приложений.

Темы докладов, прозвучавших на семинаре, касались основных вопросов, которые зачастую возникают у компаний при подготовке и прохождении сертификации по стандарту PCI PA-DSS.

В первой части семинара Александр Поляков и Сергей Шустиков рассказали об основных требованиях стандарта PADSS, а также об этапах подготовки и сертификации в докладах «Основы PA-DSS» и «Сертификация приложения по PADSS, а также об этапах подготовки и сертификации в докладах «Основы PA-DSS» и «Сертификация приложения по PADSS».

Во второй части Евгений Безгодов подробно рассмотрел «Типовые ошибки в Implementation Guide» – одном из основных документов, который должен быть подготовлен при создании и поставке платежного приложения.

Практическая часть семинара была представлена Александром Поляковым, который провел наглядную демонстрацию аудита безопасности платежного приложения, на глазах у зрителей обнаружив ряд критичных уязвимостей и показав тем самым, каким образом проводится аудит защищенности приложений, систем и тестирование на проникновение «вручную», что соответствует требованиям стандартов PCI и принципиально отличается от сканирования.

Третья часть семинара была открыта Александром Костиным («Требования PADSS с точки зрения разработчика платежных приложений»), представителем компании сервис-провайдера Uniteller, которая обладает опытом сертификации по PCI DSS и является разработчиком программного обеспечения, в том числе для проведения расчетов по картам, и услуг интеграции. Выступление Александра Костина было посвящено наиболее «трудоемким» с точки зрения разработчиков платежных приложений требованиям PADSS, опыту прохождения Uniteller сертификации собственной платежной инфраструктуры на соответствие требованиям стандарта PCI DSS совместно со специалистами компании Digital Security. В ходе выступления было особо отмечено, что прохождение аудита по PA-DSS повышает конкурентоспособность платежных решений на рынке и позволяет разработчику существенно снизить репутационные и финансовые риски, связанные с возможными инцидентами безопасности.

Игорь Голдовский рассказал «Об особенностях хранения, обработки и передачи платежных данных в терминалах, обслуживающих ограниченное количество карт», отметив, что стандарты PCI PA DSS/ PCI DSS определяют набор инструкций, выполнение которых позволяет снизить вероятность кражи карточных данных при их хранении, обработке и передаче. Павел Гужиков, представитель компании Step Up, разработчика решений в области удаленного обслуживания клиентской базы поставщиков финансовых услуг, выступил с докладом о «Безопасности мобильных приложений», использование которых стало частой практикой в последнее время.

В перерывах между докладами участники с интересом обсуждали накопившиеся у них вопросы, связанные с информационной безопасностью и стандартами PCI и PA-DSS, обменивались идеями и планами развития в этих направлениях.

Семинар показал высокую степень актуальности вопросов безопасности платежных приложений и их сертификации по требованиям стандарта PA-DSS. Многие участники рынка платежных технологий уже приступили к реализации проектов достижения соответствия PA-DSS, другие участники всерьез задумываются о развитии планов в этом направлении. Участники семинара особенно отметили положительную тенденцию, заключающуюся в осознании разработчиками ПО высоких рисков, связанных с уязвимостями в приложениях, и важности вопросов их защиты.

«Семинар является продолжением традиции проведения мероприятий в области PCI и PA-DSS, начало которой положила также организованная нами и АРЧЕ мартовская конференция «PCI DSS Russia», – отметил И.Медведовский.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube