Автор: Роман Денисенко, старший инженер по тестированию.
Из-за специфики моей работы, мне часто задают вопросы вида «у нас есть прекрасное мобильное приложение, и мы собираемся добавить в него возможность платежей банковскими картами. Но мы немного обеспокоены по поводу стандарта PCI PA-DSS. Что нам следует делать?». Чтобы облегчить себе жизнь, я решил написать статью, разъясняющую отношение стандарта PCI PA-DSS к рядовым мобильным приложениям, живущим в миллионах мобильников по всему миру.
Для начала давайте вспомним, что такое PCI PA-DSS и с чем его вообще едят. Стандарт PA-DSS был разработан PCI SSC (Payment Card Industry Security Standards Council) и является своего родом адаптацией требований стандарта PCI DSS к отдельным приложениям. Действие стандарта распространяется на все приложения, обрабатывающие данные о держателях карт. Его основная функция — реализация возможности безболезненной интеграции сертифицированного платежного приложения в инфраструктуру, работающую в рамках стандарта PCI DSS. Таким образом, любая компания, сертифицируемая по стандарту PCI DSS, может использовать PA-DSS-сертифицированный софт внутри своей инфраструктуры без каких-либо дополнительных проверок.
Стоит заметить, что в отличие от PCI DSS, PA-DSS сертификация не носит ультимативный характер, и производитель программного продукта решает сам: стоит ли сертифицировать свой продукт или нет, перенеся таким образом часть ответственности потенциальных покупателей перед PCI SSC на свои плечи.
Согласно официальным материалам, SSC подразделяет все мобильные приложения на три категории:
1. Категория 1. Платежные приложения, которые могут работать только на мобильном устройстве, признанным соответствующим стандарту PTS (например, на PoS-терминале).
2. Категория 2. Мобильные приложения, которые соответствуют ВСЕМ нижеперечисленным критериям:
a. Мобильное платежное приложение предоставляется в виде готового решения, поставляемого в комплекте с определенным оборудованием.
b. Мобильное устройство специально разработано для принятия платежей и выполняет единственно эту функцию.
c. Мобильное приложение установлено в комплекте на предназначенное для него мобильное устройство и обеспечивает среду, которая дает возможность соблюдать соответствие стандарту PCI DSS и поддерживать совместимость с ним.
3. Категория 3. Все прочие платежные приложения, работающие на каких-либо бытовых карманных устройствах (например, смартфонах, планшетах, КПК), функционал которых ограничен не только принятием платежей.
Если вам не повезло, и ваше приложение подходит под первые две категории, к сожалению, вы попадает под стандарт PA-DSS. И тут все уже будет зависеть от того, захотите ли вы проходить сертификацию или нет.
Но если ваше приложение разрабатывалось для ординарных пользователей и доступно в любом мобильном маркете (например, это всего лишь мобильная версия вашего онлайн-магазина), вы относитесь к третьей категории и вам не требуется обязательного соблюдения стандарта PA-DSS.
Ответ на вопрос, почему PCI SSC до сих пор не выпустил никаких стандартов безопасности, специфичных для мобильных приложений, был дан на одном из PCI Community Meeting: «Мы решили не выпускать стандарт по той простой причине, что технологии развиваются настолько быстро, что, какой бы стандарт мы ни сделали, он стал бы устаревшим еще до выхода».
Тем не менее, PCI SSC смотрит вперед и советует разрабатывать приложения, принимая во внимание рекомендации PA-DSS, потому что рано или поздно мобильные приложения все-таки будут иметь свой стандарт безопасности, и соблюдение его станет большой головной болью для всех тех, кто будет к нему еще не готов. Именно по этой причине PCI SSC опубликовало несколько руководств для разработчиков и представителей коммерции.
Дополнительно на официальном сайте представлена специальная брошюра, рассказывающая, как правильно обрабатывать карточные платежи через мобильные приложения. В нем PCI SSC рекомендует использовать P2PE-решения во избежание перехвата передаваемых данных — в этом случае данные держателя карты передаются через мобильные приложения в уже зашифрованном виде.
Напоследок хочется сказать лишь одно: создавайте полезные и удобные мобильные приложения, которые облегчают нашу каждодневную жизнь! Но никогда не забывайте, что всегда будут те, кто будет стараться обойти вашу систему защиты Поэтому будьте бдительны.