TigerTeam - suomalainen tietoturvablogi

PA-DSS, Payment Application Data Security Standard, on standardi, joka määrittelee vaatimukset maksusovellusten turvallisuudelle. Standardin tarkoituksena on varmistaa, että maksusovellusten turvataso on riittävä PCI DSS -standardin vaatimusten täyttämiseksi. Standardia hallinnoi PCI Security Standards Council.

PA-DSS-auditointi tehdään maksusovellukselle. Auditoinnin tilaajana on maksusovelluksen valmistaja.

Mitä hyötyä maksusovelluksen valmistaja saa PA-DSS-auditoinnista?

Nykytilanteessa varmistettu PA-DSS-yhdenmukaisuus tuo pelkästään kilpailuetua, koska maksusovelluksen käyttäjä selviää vähemmällä omassa PCI DSS -auditoinnissaan. Yhdysvalloissa Visa edellyttää jo nyt uusien sovellusten olevan PA-DSS:n mukaisia ja vaatii, että 1.7.2010 kaikki maksusovellukset ovat PA-DSS:n mukaisia. On hyvin todennäköistä, että samantyyppiset vaatimukset astuvat voimaan lähitulevaisuudessa myös Euroopassa.

PA-DSS sisältää 14 pääkohtaa. Näistä kaksi, sovelluskehitysmetodologia (vaatimus 5: Develop secure payment applications) ja ohjeistus (vaatimus 14: Maintain instructional documentation and training programs for customers, resellers, and integrators), ovat sellaisia, joiden korjaaminen voi kestää pahimmillaan jopa vuodenkin. Sovellusvalmistajilla olisi syytä lähiaikoina tarkastella omien sovellustensa tilannetta ainakin näiltä osilta, jottei Visa pääse yllättämään aikatauluillaan.

Viisivaiheinen prosessi

PA-DSS-auditointi on tyypillisesti viisivaiheinen, joista kolme vaihetta on auditointia ja kaksi korjaavia toimenpiteitä. Nämä vaiheet ovat

* gap-analyysi
* ensimmäinen korjauskierros
* dokumenttiauditointi
* toinen korjauskierros
* dokumenttiauditointi sekä laboratorioauditointi

Gap-analyysi tehdään kahdessa tai kolmessa työpajassa, joissa auditoija käy läpi standardia kohta kohdalta ja kerää vastaukset maksusovelluksesta vastaavilta henkilöiltä. Gap-analyysin tuloksena syntyy raportti, jonka avulla voidaan arvioida kehitystyön kohteet ja määrä yhdenmukaisuuden saavuttamiseksi.

Ensimmäisen korjauskierroksen aikana sovellusvalmistaja korjaa gap-analyysissä löydetyt puutteet.

Dokumenttiauditoinnissa auditoija käy läpi sovellusdokumentaation sekä pitää muutaman työpajan, joissa selvitetään sovelluksen todellinen taso suhteessa vaatimuksiin.

Sovellusvalmistaja korjaa dokumenttiauditoinnissa löydetyt puutteet toisella korjauskierroksella.

Auditoinnin viimeisessä vaiheessa auditoija tarkastaa dokumenttikorjaukset sekä testaa maksusovelluksen laboratoriossa. Laboratoriotestaus kattaa järjestelmän sen toiminnallisuuden, jossa käsitellään maksukorttitietoja. Laboratoriotestaus on erittäin perusteellinen ja sisältää mm. jäännösdatan forensiikka-analyysin sen paljastamiseksi jääkö sovellukselta autorisointivaiheessa selväkielistä luottokorttidataa levylle.

Mikäli maksusovellus läpäisee kaikki tarkastukset, se pääsee Visan listalle, jolla on listattuna kaikki PA-DSS-yhdenmukaiset ohjelmistot.