Implantación y Certificación de Aplicaciones de Pago en el estándar PA-DSS

Payment Application Data Security Standard (PA DSS), es un estándar de seguridad que define el conjunto de requerimientos que deben cumplir las aplicaciones o productos de pago electrónico vendidas a terceros. Si bien PCI DSS certifica que las medidas de seguridad de los procesos que almacenan tratan o transmiten datos de tarjeta son los adecuados y, por tanto, aplica a las empresas, PA DSS certifica unos requerimientos sobre productos que son comercializados (y no desarrollados ad-hoc para un único cliente), independientemente que estos sean explotados por el cliente o por el propio proveedor.

Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito originado por posibles deficiencias en las aplicaciones que usen comercios, proveedores de servicio y entidades adquirientes incrementando la seguridad de estos datos.

PA DSS es la evolución del programa de VISA PAPB que el año 2008 fue transferido (al igual que el PCI DSS en el 2006) al PCI Security Standards Council (PCI SSC) organismo que ha pasado a gestionar este estándar, su evolución y la homologación de las empresas que pueden realizar las Auditoría de Certificación de productos. Esta homologación es la denominada PA-QSA (Payment Applications Qualified Security Assessor).

Internet Security Auditors fue la primera empresa española en obtener la certificación PA QSA gracias a su experiencia en la seguridad previa como QSA en multitud de entidades bancarias, telcos, proveedores de servicio, ISPs/ASPs y comercios de todos los sectores (turismo, juego en Internet, e-commerce, etc.) y a su conocimiento reconocido en el área de la seguridad en desarrollo seguro de aplicaciones, investigación forense y hacking ético, conocimientos imprescindibles para garantizar que las auditorías de un PA QSA cumplen con los requerimientos de Quality Assurance exigidos por el PCI SSC.

Con nuestra experiencia en consultoría y auditoría en seguridad de la información, estamos en disposición de ayudar a todas aquellas organizaciones que están obligadas a definir y mantener un programa de cumplimiento de los requerimientos exigidos por PCI DSS. Para ello, hemos desarrollado los siguientes servicios:

Consultoría de Implantación de PA DSS

Nuestro objetivo, es proporcionar a las organizaciones todo el soporte necesario y guiarles en la creación de la documentación de la aplicación o plataforma a certificar, además de poder ofrecer todo el conocimiento sobre los estándares PA DSS y PCI DSS definición y mantenimiento del programa de cumplimiento con PCI DSS.

Auditoría de Certificación PA DSS

Internet Security Auditors está acreditada por el PCI SSC, a través de su certificado PA-QSA, para realizar las auditorías de certificación para aquellos fabricantes de productos de medios de pago que desean acreditar sus productos (expendedores de billetes, parquímetros, pasarelas de pago, TPVs, etc.) habiéndose convertido en la primera empresa española en obtener esta certificación por parte del PCI SSC.

El primer paso para cumplir con los requerimientos de PA DSS es realizar un análisis del manual de la aplicación o plataforma, identificar si el nivel de detalle requerido se alcanza, los detalles técnicos de su despliegue son los adecuados, etc.

El segundo paso es desplegar el laboratorio de pruebas donde se realizarán las validaciones técnicas siguiendo con los requerimientos que PA DSS exige en los procedimientos de auditoría y que deberá seguir fielmente con el manual.

El tercer paso es preparar y documentar los resultados a fin de preparar la documentación que exige el PCI SSC para iniciar el proceso de aceptación de los productos certificados.