Biz sizning toʻlov dasturiy taʼminotingiz validatsiyasi jarayonini (yoki sizning toʻlov dasturiy taʼminoti vendori sifatidagi jarayonlaringizni) SSF standartlari talablari boʻyicha maslahat berish va dasturiy taʼminot bilan tanishishdan boshlaymiz, soʻngra dasturiy taʼminot kodini tekshiramiz, log-fayl tarkibini, maʼlumotlar bazasi yozuvlarini koʻrib chiqamiz (hujjatlarni oʻrganamiz va toʻlov dasturiy taʼminoti vendori sifatida loyihalash, ishlab chiqish, sinovdan oʻtkazish, ishga tushirish, qoʻllab-quvvatlash jarayonlarini kuzatamiz). Birinchi bosqich yakunlari boʻyicha aniqlangan kamchiliklarni bartaraf etish uchun tavsiyalar beramiz.
PCI SSF (PA-DSS) STANDARTI HAQIDA
PCI Software Security Framework (SSF) – dasturiy taʼminot xavfsizligini taʼminlashga qaratilgan standartlar turkumi boʻlib, hozirda u ikkita oʻzaro bogʻliq standartlar – Secure Software Standard (SSS) va Secure Software Lifecycle (Secure SLC) standartidan iborat.
Secure Software Standard – xavfsizlik talablari va ular bilan bogʻliq boʻlgan va amalga oshirilishi toʻlov dasturiy taʼminoti toʻlov operatsiyalari va qayta ishlangan maʼlumotlarning yaxlitligi va maxfiyligini himoya qilishni kafolatlaydigan kompleks protseduralarni belgilab beradi.
Secure Software Standard talablariga rioya qilish ushbu ilovalar uchinchi shaxslar tomonidan sotilganda, tarqatilganda va/yoki litsenziyalanganda, shuningdek toʻlovlarni avtorizatsiya qilishda va hisob-kitoblarda ishtirok etishda yoki toʻlovlar xavfsizligiga taʼsir qilishda hamda toʻlov dasturiy taʼminoti PTS POI (tasdiqlangan PCI) qurilmalarida foydalanish uchun moʻljallangan holatda talab qilinadi.
Quyidagilar uchun baholash talab qilinmaydi: shaxsiy ishlab chiqilgan dasturiy taʼminot, bitta mijoz uchun buyurtmaga ishlab chiqilgan dasturiy taʼminot, shuningdek, mobil qurilma uchun dasturiy taʼminot, agar ushbu mobil qurilma tranzaksiyani qayta ishlash uchun toʻlovlarni qabul qilishga maxsus moʻljallanmagan boʻlsa.
Boshqacha qilib aytganda, agar siz tashkilotingizda foydalanish uchun toʻlov dasturiy taʼminotini ishlab chiqayotgan boʻlsangiz, unda unga nisbatan PCI DSS standarti talablari qoʻllaniladi. Biroq, agar siz toʻlov dasturiy taʼminotini (tayyor yechimlar, toʻplam yechimlar) turli xil mijozlarga sotayotgan, tarqatayotgan va/yoki litsenziya berayotgan boʻlsangiz, bunday dasturiy taʼminot Secure Software Standard talablariga javob berishi kerak.
Secure Software Standard talablariga muvofiqlikni baholashning ikki turi mavjud:
muvofiqlikni toʻliq baholash;
delta-baholash.
Toʻliq baholash faqat malakali auditor tomonidan amalga oshiriladi. Delta-baholash muvofiqlikni toʻliq baholashlar oraligʻidagi davrlarda dasturiy taʼminotga kichik oʻzgarishlar kiritilganda oʻtkaziladi. Delta-baholash Secure SLC Qualified Vendor maqomiga ega vendor tomonidan mustaqil ravishda amalga oshirilishi mumkin. Bunday maqomni olish uchun alohida standart – Secure SLC Standard mavjud.
Secure SLC Standard – dasturiy taʼminot vendorlariga ular tomonidan yetkazib beriladigan toʻlov dasturiy taʼminotining butun foydalanish davri davomida uning xavfsizligini boshqarish boʻyicha qoʻyiladigan talablar toʻplamini belgilab beradi. Sertifikatlashdan oʻtgandan soʻng, vendorga Secure SLC Qualified Vendor maqomi beriladi va malakali auditorni jalb qilmasdan delta-baholashni oʻtkazish imkoniyati taqdim etiladi.
Compliance Control kompaniyasi har ikkala SSF standarti boʻyicha audit oʻtkazish vakolatiga ega.
Compliance Control kompaniyasi sizga eng yaxshi amaliyot va jarayonlarni joriy etishga yordam beradi, qanday qilib ilovani SSF talablariga muvofiq ishlab chiqilishiga erishishni koʻrsatib beradi, kerakli hujjatlarni qanday tayyorlash boʻyicha maslahat (Implementation Guidance) beradi va har ikkala standart talablarga toʻliq moslashish jarayonida sizni qoʻllab-quvvatlaydi.