Завершился проект компаний “Арком” и “Информзащита” по приведению приложения UNIVERSAL EMV POS, устанавливаемого на POS-оборудование Ingenico и обеспечивающего функционал по приему безналичных платежей с использованием карт международных платежных систем, к соответствию требованиям стандарта безопасности платежных приложений в индустрии платежных карт PA-DSS (Payment Application Data Security Standard, стандарт безопасности данных платежных приложений).
По требованиям платежных систем VISA и MasterCard все приложения, участвующие в обработке транзакций авторизации или проведении расчетов по пластиковым картам должны быть сертифицированы на соответствие данному стандарту.
В рамках проекта аудиторами “Информзащиты” была проведена предварительная оценка выполнения стандарта и далее, во взаимодействии со специалистами “Арком”, сформирован детальный план работ, целью которого было достижение соответствия требованиям PA-DSS. Сообщается, что в ходе реализации данного проекта в приложение UNIVERSAL EMV POS были внесены незначительные изменения, позволившие дополнительно усилить процедуры аутентификации администраторов. Кроме того, в приложении был реализован собственный, независимый от настроек системы управления POS-терминалами механизм регистрации значимых для информационной безопасности событий и некоторые другие контролирующие функции.
По завершению всех работ компанией “Информзащита” были проведены проверки приложения. Для этого в тестовой лаборатории “Арком” был создан стенд, моделирующий работу POS-оборудования терминалов с программным обеспечением UNIVERSAL EMV POS в реальной жизни. В том числе проверялись различные конфигурации на POS-терминалах и пинпадах во взаимодействии с контрольно-кассовой техникой (внешним компьютером) и в отдельном исполнении. Особое внимание было уделено обеспечению безопасного обмена с серверами процессинга и серверами управления, обновления и параметризации оборудования.
Параллельно специалистами компании “Информзащита” проводился анализ исходного кода приложения на применение технологии безопасного программирования, соблюдения инструкций по разработке, тестированию и сопровождению ПО.
В июне 2011 г. Совет по безопасности индустрии платежных карт (PCI SSC) официально объявил об успешном результате проверки документов аудита и о присвоении программному обеспечению UNIVERSAL EMV POS 1.0 компании “Арком” статуса соответствия стандарту PA-DSS.