Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
tillfriday
7 лет назад

PA DSS в России. Личный опыт.

Многие знают про PCI DSS. Мне кажется 80% ИБшников сталкивались с этим стандартом по мере работы. Но немногие сталкивались с сертификацией по PA DSS - сертификацией приложений обрабатывающих данные платежных карт. Так вот пост сей про личный опыт общения с аудиторами PA-QSA в рамках этих сертификаций.
Я дважды курировал сертификацию приложений в крупной компании-разработчике. Первый раз было сыкотно,т.к. я был инфраструктурным ИБшником (PCI DSS была моей зоны ответственности, а вот PA DSS вообще то нет:)) Все что я знал - это сам стандарт, немного о принципах безопасной разработки, функционал ПО и что оно написано JAVA :) Прошло некоторое время и тут, что называется, я прокачался:
познал JAVA, с нуля написал программу обучения разрабам, политику безопасной разработки, и сильно изменил процесс разработки подогнав его под SDL. Компанией аудитором была выбран крупнейший ИБ-интегратор РФ. Сам аудитор - прекрасный парень, ответственный, доскональный, но самое главное умел объяснять. Вообщем предаудит был почти по всем пунктам PASS, за исключением некоторых моментов, поэтому сам аудит занял неделю и отчет в PCISSC был отправлен. На весь проект от внутреннего старта до апрува консулом прошло 9 месяцев. Все были счастливы.
Но прошло пять лет. Наше ПО в последний год претерпела значительные изменения, срок сертификации истек и решили мы, что надо бы аудит новый заказать. Выбрали другую контору, чуть поменьше, но не менее известную на рынке РФ. Честно говоря, как то готовится к этому аудиту, делать сначала предаудит, не было смысла, т.к. у нас все процессы работали как часы, код идеален, безопасность разработки не на последнем месте (не без толики субъективизма конечно:)) Думали закажем аудит, все проверять за пару недель, ну и в течении 2-х месяцев консул нам все заапрувит. Ага. После подписания договора аудитор приехал на "предварительное интервью с разработчиками и другими ответственными за жизненый цикл ПО" через месяц. Интервью длилось 15 минут. Всего 15 минут. Со всеми. Через пару недель аудитор попросил документацию, чтобы разобраться как работает ПО. Еще через месяц начался пентест. Надо отдать должное ребятам которые делали пентест - они старались, в отличии от аудитора. Спустя еще 3 месяца аудитор приехал к нам еще на 30 минут. Зачем я так и не понял, вопросы были аналогичные первой встречи. Вообщем от подписания договора на просто, сука, аудит до написания аудитором отчета ушло 7 месяцев. И хрен знает сколько еще будет апрувить консул.
Сравнивая два этих аудита, а также опыт общения с другими QSA я пришел к следующим выводам:

  1. Если аудит в первый раз, то заказывать его нужно только у первой компании из топа QSA. Это дорого, долго, но именно с ними можно научится многому и комплаинс в любом случае получите.
  2. Если аудит не в первый раз или бюджет маленький, то заказывать нужно у компании из второго-третьего эшелона, где за каждого клиента готовы работать, срыв сроков минимален, цена низкая.
0
0.558 GOLOS
На Golos с May 2017
Комментарии (1)
Сортировать по:
Сначала старые