Conformidade com o PA-DSS/ PCI-DSS
Padrão de Segurança e Dados de Aplicativos de Pagamento
O PA-DSS (Payment Application Data Security Standard) conforme regra Payment Card Industry Data Security Standard (PCI DSS) impõe vários requisitos de teste de proteção de dados, privacidade e segurança em todas as empresas que devem aderir a ele. A segurança da Web e de aplicativos móveis é uma parte importante do processo de conformidade do PA-DSS.
A segurança e a conformidade do aplicativo começam com visibilidade. Você não pode proteger o que você não conhece. Portanto, recomendamos iniciar o PA-DSS com uma descoberta de ativos e inventário.
Vamos direto ao ponto, iremos detalhar alguns dos requisitos obrigatórios do PA-DSS:
Requisito 5.1.4
O código do aplicativo de pagamento é revisado antes do lançamento para os clientes após qualquer alteração significativa, para identificar qualquer potencial vulnerabilidade de codificação (usando processos manuais ou automatizados) para incluir pelo menos o seguinte: Alterações de código são revisadas por indivíduos que não sejam o autor do código de origem e por indivíduos com conhecimento de técnicas de revisão de código e práticas seguras de codificação. As revisões de código garantem que o código seja desenvolvido de acordo com as diretrizes de codificação seguras. (Consulte o Requisito 5.2 do PA-DSS.)
Requisito 5.2
“Desenvolva todos os aplicativos de pagamento para evitar vulnerabilidades comuns de codificação em processos de desenvolvimento de software. Verifique se os aplicativos de pagamento não estão vulneráveis a vulnerabilidades comuns de codificação, realizando testes de penetração manuais ou automatizados.”
Requisito 7.1
“Os fornecedores de software devem estabelecer um processo para identificar e gerenciar vulnerabilidades. Qualquer software ou sistema subjacente fornecido ou exigido pelo aplicativo de pagamento (por exemplo, servidores da Web, bibliotecas e programas de terceiros) deve ser incluído nesse processo. ”
Requisito 7.1.1
“Identifique novas vulnerabilidades de segurança usando fontes confiáveis para obter informações sobre vulnerabilidades de segurança”.
Requisito 7.1.2
“Atribuir uma classificação de risco a todas as vulnerabilidades identificadas, incluindo vulnerabilidades envolvendo qualquer software subjacente ou sistemas fornecidos ou exigidos pelo aplicativo de pagamento.”
Requisito 7.1.3
“Teste aplicativos de pagamento e atualizações para detectar a presença de vulnerabilidades antes do lançamento.”