ERFAHREN SIE MEHR ÜBER UNSERE PA-DSS SERVICES !

Der Standard
Der Payment Application Data Security Standard [PA-DSS] stellt einen Katalog von Anforderungen dar, welche aus dem PCI DSS Standard und den zugehörigen Audit-Richtlinien hervorgegangen sind. Softwarehersteller werden hiermit PCI DSS konforme Richtlinien für die Entwicklung, die Implementierung und den Betrieb von paymentspezifischer Softwarekomponenten bereitgestellt. Abhängig von den Sicherheitsprogrammen der jeweiligen Kartenorganisationen und der Region ist die Zertifizierung von Softwarekomponenten entsprechend dem PA-DSS verpflichtend oder momentan noch optional für den Softwarehersteller.

PA-DSS besteht unter anderem aus Anforderungen für die Speicherung und Schutz sensibler Daten, Access Control und Logging, Design und Entwicklung sicherer Softwaresysteme, Dokumentation von sicherheitsrelevanten Funktionen, Nutzbarkeit in sicheren Netzwerkarchitekturen, sowie weitere Schutzmaßnahmen für sensible kartendatenverarbeitende Funktionalitäten. Diese umfassenden Anforderungen dienen dazu den Anwender dieser Softwarekomponenten darin zu unterstützen, Karteinhaberdaten zu schützen und den Einsatz dieser Software beim Anwender entsprechend den PCI DSS Anforderungen zu ermöglichen und zu unterstützen.

PA-DSS ist in vierzehn Anforderungsgruppen mit mehr als vierzig einzelnen Anforderungen unterteilt. Die Anforderungen beziehen sich auf die softwarespezifischen Inhalte der sechs Hauptkapitel des PCI DSS Standards, welche im Folgenden aufgeführt werden:

• Aufbau und Instandhaltung eines sicheren Netzwerks
• Schutz von Kreditkartendaten
• Einsatz eines Schwachstellen-Management-Programms
• Implementierung strenger Zugangskontrollmaßnahmen
• Regelmäßige Überwachung und Test der IT-Infrastruktur
• Implementierung udn Einhaltung von Richtlinien zur Informationssicherheit

PA-DSS ist für Softwarehersteller der verbindliche Standard um paymentspezifische Softwareapplikationen an Banken, Prozessoren, Payment Service Provider oder Händler zu liefern, die mit diesen Applikationen Karteninhaberaten für eigene Zwecke oder im Namen anderer Organisationen verarbeiten, speichern, oder übermitteln.

Services
Mit den PA-DSS Assessment Services bietet die Acertigo AG einen umfassenden Dienstleistungskatalog, um Softwarehersteller dabei zu unterstützen, Konformität [Compliance] mit den PCI Payment Application Best Practice Anforderungen zu erlangen. Die in vielen Projekten bewährte Methodik von Acertigo umfasst mehrere Phasen der Dienstleistung um die jeweiligen kundenspezifischen Anforderungen zu berücksichtigen und einen bedarfsgerechten Service zu liefern. In diesen einzelnen Phase bietet Acertigo vom Standard vorgeschriebene und optionale Dienstleistungen an, damit der Softwarehersteller effizient und in kürzester Zeit die Zertifizierungsanforderungen umsetzen kann. Diese Phasen umfassen:

• Pre-Compliance Beratung
  Während dieser Phase unterstützt Acertigo den Softwarehersteller bei der Interpretation und dem Verständnis für die einzelnen Anforderungen des Payment Application Data Security Standards. In Workshops und Gesprächen mit den verantwortlichen Mitarbeitern des Softwareherstellers werden Abweichungen und fehlende Umsetzungen zu den Pa-DSS Anforderungen identifiziert und notwendige Maßnahmen für eine mögliche Behebung erörtert.
• Remediation Beratung und Unterstützung
  Während dieser Phase berät Acertigo den Softwarehersteller in Fragen der Behebung von identifizierten Abweichungen [non-compliance]. Oft betreffen diese Abweichungen die folgenden Bereiche: nicht konforme Verschlüsselungsmethoden und Key Management Funktionen, Archivierung sensibler Authentifizierungsdaten des Karteninhabers, fehlende Audit Trails und unzureichende Remote Access Kontrolle.
• Durchführung der Zertifizierung
  Die Durchführung eines sogenannter Onsite Review beim Kunde durch Auditoren der Acertigo wird gemeinsam mit den verantwortlichen Mitarbeitern des Kunden vor Ort durchgeführt. Im Rahmen des Reviews werden alle Anforderungen des PA-DSS überprüft und ein detaillierter Bericht erstellt.