PA-DSS – Wikipedia


IL Standard di sicurezza dei dati delle applicazioni di pagamento (PA-DSS) è lo standard di sicurezza globale creato da Consiglio per gli standard di sicurezza del settore delle carte di pagamento (PCISSC).(1)

PA-DSS è stato implementato nel tentativo di fornire lo standard di dati definitivo per Software fornitori che sviluppano applicazioni di pagamento. Lo standard mirava a impedire che le applicazioni di pagamento sviluppate per terzi memorizzino dati protetti vietati, inclusi banda magnetica, CVV2O SPILLO. In questo processo, lo standard impone anche che i fornitori di software sviluppino applicazioni di pagamento conformi agli standard di sicurezza dei dati del settore delle carte di pagamento (PCIDSS).

Alla fine il PA-DSS è stato ritirato alla fine del 2022, sebbene le implementazioni esistenti che utilizzano applicazioni PA-DSS non perdano necessariamente il loro stato di conformità.(2) Da allora il Consiglio PCI ha istituito un nuovo programma di convalida del software, il Quadro di sicurezza del software PCI.

Requisiti(modificare)

Perché una richiesta di pagamento venga presa in considerazione PA-DSS conformi, i fornitori di software devono garantire che il loro software includa le seguenti quattordici protezioni:(3)

  1. Non conservare i dati di traccia completi, il codice o il valore di verifica della carta (CAV2, CID, CVC2, CVV2) o i dati del blocco PIN.
  2. Proteggi i dati dei titolari di carta memorizzati.
  3. Fornire funzionalità di autenticazione sicura.
  4. Registra l’attività dell’applicazione di pagamento.
  5. Sviluppare applicazioni di pagamento sicure.
  6. Proteggi le trasmissioni wireless.
  7. Testare le applicazioni di pagamento per risolvere le vulnerabilità e mantenere gli aggiornamenti delle applicazioni di pagamento.
  8. Facilitare l’implementazione sicura della rete.
  9. I dati dei titolari della carta non devono mai essere archiviati su un server connesso a Internet.
  10. Facilitare l’accesso remoto sicuro all’applicazione di pagamento.
  11. Crittografa il traffico sensibile sulle reti pubbliche.
  12. Proteggi tutti gli accessi amministrativi non da console.
  13. Mantenere una Guida all’implementazione del programma PA-DSS per clienti, rivenditori e integratori.
  14. Assegnare responsabilità PA-DSS per il personale e mantenere programmi di formazione per personale, clienti, rivenditori e integratori.

Governance e applicazione(modificare)

PCI SSC ha compilato un elenco di applicazioni di pagamento che sono state convalidate come conformi PA-DSS, con l’elenco aggiornato per riflettere le applicazioni di pagamento conformi man mano che vengono sviluppate. La creazione e l’applicazione di questi standard spetta attualmente a PCI SSC tramite Payment Application-Valutatori qualificati della sicurezza (PA-QSA). I PA-QSA conducono revisioni delle applicazioni di pagamento che aiutano i fornitori di software a garantire che le applicazioni siano conformi agli standard PCI.

Storia(modificare)

Governato originariamente da Visa Inc.con il soprannome di PABP, PA-DSS è stato lanciato il 15 aprile 2008 e aggiornato il 15 ottobre 2008. PA-DSS è stato poi distinto retroattivamente come “versione 1.1”(4) e “versione 1.2”.(5)

Nell’ottobre 2009 è stato rilasciato PA-DSS v1.2.1 con tre modifiche note:(3)

  1. Nella sezione “Ambito del PA-DSS”, allineare il contenuto alla Guida del programma PA-DSS, v1.2.1, per chiarire le applicazioni a cui si applica il PA-DSS.
  2. In base al Requisito di laboratorio 6, corretta l’ortografia di “OWASP”.
  3. Nell’Attestato di convalida, Parte 2a, aggiornare la “Funzionalità dell’applicazione di pagamento” per renderla coerente con i tipi di applicazione elencati nella Guida al programma PA-DSS e chiarire le procedure di riconvalida annuale nella Parte 3b.

Nell’ottobre 2010 è stato rilasciato PA-DSS 2.0,(6) indicando: Aggiorna e implementa modifiche minori dalla v1.2.1 e allineati al nuovo PCI DSS v2.0. Per i dettagli, consultare PA-DSS – Riepilogo delle modifiche dalla versione PA-DSS da 1.2.1 a 2.0.

Nel novembre 2013 è stato rilasciato PA-DSS 3.0,(7) indicando: Aggiornamento da PA-DSS v2. Per i dettagli sulle modifiche, consultare PA-DSS – Riepilogo delle modifiche dalla versione PA-DSS da 2.0 a 3.0.(8)

Nel maggio 2015 è stato rilasciato PA-DSS 3.1(3) indicando:Aggiornamento da PA-DSS v3.0. Consultare PA-DSS – Riepilogo delle modifiche dalla versione PA-DSS da 3.0 a 3.1 per i dettagli delle modifiche.(9)

Nel maggio 2016 è stata rilasciata la versione 3.2 della Guida e degli standard del programma PA-DSS.(10)(11) Per i dettagli, vedere Riepilogo delle modifiche dalla versione PA-DSS da 3.1 a 3.2.(12)

Attenzione del Congresso(modificare)

Il 31 marzo 2009 il Camera dei rappresentanti degli Stati Uniti‘Commissione on Sicurezza interna convocato per discutere l’attuale PCIDSS requisiti.(13)

Rappresentanti come Yvette Clarke (D-NY) ha espresso interesse ad aumentare la forza degli standard mentre altri, come Bennie Thompson (D-Miss.) ha espresso dubbi sul fatto che gli standard creati dall’industria saranno sufficienti in futuro.(14)

Mentre l’attenzione del Congresso si è concentrata principalmente su PCIDSSla critica agli standard degli emittenti di carte potrebbe alla fine portare l’attenzione del Congresso o dei legali sul PA-DSS e sul PCI SSC come entità.

Il futuro di questi standard è piuttosto vago, con l’attenzione del Congresso che dà luogo alla possibilità di un intervento governativo. Indipendentemente da ciò, il rispetto degli standard può rivelarsi costoso e richiedere molto tempo per i fornitori di software, poiché le spese attuali per la certificazione PA-DSS superano altri metodi di conformità. Dato il costo della conformità e della certificazione, nel mercato della conformità agli standard PCI potrebbero emergere alternative attuali o ancora indeterminate. Visa USA ha annunciato una spinta più aggressiva verso tale tecnologia (chip and pin) nell’agosto 2011.(15)

Informazioni supplementari(modificare)

Il PCI SSC ha pubblicato materiale aggiuntivo che chiarisce ulteriormente il PA-DSS, tra cui quanto segue:

  • Requisiti PA-DSS e procedure di valutazione della sicurezza.(16)(17)(18)
  • Modifiche rispetto agli standard precedenti.(9)
  • Guida generale al programma per QSA.(19)

Riferimenti(modificare)




Source link

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna in alto