Implantación y Certificación de Aplicaciones de Pago en el estándar PA-DSS

Payment Application Data Security Standard (PA DSS), es un estándar de seguridad que define el conjunto de requerimientos que deben cumplir las aplicaciones o productos de pago electrónico vendidas a terceros. Si bien PCI DSS certifica que las medidas de seguridad de los procesos que almacenan, tratan o transmiten datos de tarjeta son los adecuados y, por tanto, aplica a las empresas, PA DSS certifica unos requerimientos sobre productos que son comercializados (y no desarrollados ad-hoc para un único cliente), independientemente que estos sean explotados por el cliente o por el propio proveedor.

Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito originado por posibles definiciencias en las aplicaciones que usen comercios, proveedores de servicio y entidades adquirientes incrementando la seguridad de estos datos.

PA DSS es la evolución del programa de VISA PAPB que el año 2008 fue transferido (al igual que el PCI DSS en el 2006) al PCI Security Standards Council (PCI SSC) organismo que ha pasado a gestionar este estandard, su evolución y la homologación de las empresas que pueden realizar las Auditoría de Certificación de productos. Esta homologación es la denominada PA-QSA (Payment Applications Qualified Security Assessor).

Internet Security Auditors fue la primera empresa española en obtener la certificación PA QSA gracias a su experiencia en la seguridad previa como QSA en multitud de entidades bancarias, telcos, proveedores de servicio, ISPs/ASPs y comercios de todos los sectores (turismo, juego en Internet, e-commerce, etc.) y a su conocimiento reconocido en el área de la seguridad en desarrollo seguro de aplicaciones, investigación forense y hacking ético, conocimientos imprescindibles para garantizar que las auditorías de un PA QSA cumplen con los requerimientos de Quality Assurance exigidos por el PCI SSC.

Internet Security Auditors, con su experiencia en consultoría y auditoría en seguridad de la información, está en disposición de ayudar a todas aquellas organizaciones que están obligadas a definir y mantener un programa de cumplimiento de los requerimientos exigidos por PCI DSS. Para ello, ha desarrollado los siguientes servicios:

Consultoría de Implantación de PA DSS

Internet Security Auditors, con su servicio de consultoría de implantación tiene como objetivo proporcionar a las organizaciones todo el soporte necesario y guiarles en la creación de la documentación de la aplicación o plataforma a certificar, además de poder ofrecer todo el conocimiento sobre los estandares PA DSS y PCI DSS definición y mantenimiento del programa de cumplimiento con PCI DSS.

Auditoría de Certificación PA DSS

Internet Security Auditors está acreditada por el PCI SSC, a través de su certificado PA-QSA, para realizar las auditorías de certificación para aquellos fabricantes de productos de medios de pago que desean acreditar sus productos (expendedores de billetes, parquímetros, pasarelas de pago, TPVs, etc.) habiéndose convertido en la primera empresa española en obtener esta certificación por parte del PCI SSC.

El primer paso para cumplir con los requerimientos de PA DSS es realizar un análisis del manual de la aplicación o plataforma, identificar si el nivel de detalle requerido se alcanza, los detalles técnicos de su despliegue son los adecuados, etc.

El segundo paso es desplegar el laboratorio de pruebas donde de realizarán las validaciones técnicas siguiendo con los requrimientos que PA DSS exige en los procedimientos de auditoría y que deberá seguir fielmente con el manual.

El tercer paso es preparar y documentar los resultados a fin de preparar la documentación que exige el PCI SSC para iniciar el proceso de aceptación de los productos cetificados.