В мае 2011 г. веб-приложение X-Payments 1.0, разработанное компанией «Креативная разработка» прошло сертификацию на соответствие требованиям международного стандарта безопасности данных платежных приложений (PA-DSS ).
Основным мотивом прохождения сертификации стали требования, предъявляемые международными платежными системами к безопасности платежных приложений, обрабатывающих данные держателей карт. Таким приложением является новый продукт компании «Креативная разработка» — веб-приложение X-Payments 1.0, выступающее посредником между покупателями интернет-магазинов и платежными шлюзами при оплате с использованием платежных карт. В соответствии с требованиями международных платежных систем подобное приложение должно соответствовать требованиям стандарта PA-DSS и быть сертифицировано. Кроме того, для компании «Креативная разработка» было важно получить независимую оценку защищенности приложения.
Для реализации этого проекта была выбрана компания «Информзащита» — лидер российского рынка PCI Compliance. В рамках данного проекта специалисты компании провели предварительную оценку и подготовили детальный план работ, целью которого было достижение соответствия требованиям PA-DSS.
По результатам предварительной оценки, в целях сокращения объема работ и повышения уровня доверия, было принято совместное решение — исключить функцию хранения данных карт после прохождения процесса авторизации. Для обеспечения удаленного доступа была выработана и внедрена схема двухфакторной аутентификации пользователей. Также, незначительные изменения коснулись системы протоколирования и парольной политики пользователей.
В ходе предварительной оценки был отмечен высокий уровень процесса разработки программного обеспечения в компании «Креативная разработка». При подготовке к сертификации к его обязательным стадиям были добавлены работы по анализу исходного кода, а также формализовано проведение тестирования приложения на предмет безопасности. Данные изменения позволили не только выполнить требования стандарта, но и повысить уровень защищенности разрабатываемого компанией программного обеспечения.
По завершению всех работ компанией «Информзащита» был проведен сертификационный аудит. Результаты сертификационных проверок, подтвердивших соответствие приложения требованиям стандарта PA-DSS, прошли контроль качества со стороны Совета по безопасности индустрии платежных карт (PCI SSC).
В мае 2011 года Совет по безопасности индустрии платежных карт (PCI SSC) присвоил приложению X-Payments 1.0 компании «Креативная разработка» статус соответствия стандарту PA-DSS.
По словам Юрия Зайцева, заместителя генерального директора по производству компании «Креативная разработка»: «Для нашей компании ценность достигнутого результата состоит в том, что у наших клиентов появился недорогой способ привести свои интернет-магазины в соответствие с требованиями международных платежных систем, а так же в том, что мы получили независимое подтверждение качества и безопасности нашего продукта, что в свою очередь влечет укрепление доверия со стороны клиентов, а также получение преимущества перед конкурентами».
Заместитель директора департамента аудита компании «Информзащита» Анна Гольдштейн отметила: «Сертификация приложений — сложный, но всегда интересный процесс, требующий максимальной двусторонней отдачи. Конструктивное и плодотворное взаимодействие с сотрудниками «Креативной разработки» помогло выработать оптимальные решения для реализации требований стандарта и успешно пройти этап сертификации».
