PA DSS, (Payment Application Data Security Standard), PCI SSC tarafından belirlenen Ödeme Uygulaması Data Güvenlik Standartları’dır.
Ödeme Uygulaması Veri Güvenliği Standardı (PA-DSS), Ödeme Kartı Sektörü Güvenlik Standartları Konseyi (PCI SSC) tarafından oluşturulan küresel güvenlik standardıdır.
PA DSS’ye uymanız gerekmese bile, kendi ödeme uygulamalarınızı geliştirmeseniz veya bir satıcıdan uygulama satın alsanız da, PA DSS içindeki bilgileri gözden kaçırmamak gerekir.
Bunun nedenlerini aşağıdaki gibi sıralayabiliriz:
- PA DSS, bir ödeme sağlayıcının (acquirer) ödeme başvurusunu doğrulamak için değerlendirme ekibi tarafından kullanılabilir. SSC, doğrulanmış ödeme uygulamalarının bir listesini tutsa da, bir iş ortağı ödeme uygulaması listede olmayabilir veya ödeme uygulaması için firmalar kendi bağımsız denetimini gerçekleştirmek isteyebilir. Bu tür durumlarda, PA DSS önemli bir denetim ve değerlendirme kılavuzudur.
- PA DSS, güvenli ödeme uygulamaları geliştirmeye yönelik detaylı bir incelemedir ve geliştirilen uygulamaların, kart verilerinin korunması göz önünde bulundurularak tasarlanmasını ve dağıtılmasını sağlamak için dahili geliştirme ve güvenlik ekipleri tarafından kullanılmalıdır.
PCI DSS, ödeme uygulamalarının güvenliğini ele alan ancak PA DSS’nin yaptığı ayrıntılara girmeyen tüm kart sahibi verileri ortamı ekosistemini kapsar. PA DSS’yi dahili uygulamalar için bile bir kılavuz olarak kullanmak, geliştirme ekibine ek rehberlik sağlar.
Bir örnek, PA DSS’nin 5.1.5 nolu maddesi: Güvenli kaynak kontrol uygulamaları, geliştirme sürecinde kaynak kodunun bütünlüğünü doğrulamak için uygulanır. Kaynak kod kontrolü, güvenli bir SDLC’nin önemli bir parçasıdır ve NIST 800-64 gibi standartlarda çağrılır.
Diğer bir örnek Gereksinim 5.1.6.1 Kodlama teknikleri, PAN ve / veya SAD’nin bellekte nasıl işlendiğine dair dokümantasyonu içerir. Yine, ödeme uygulaması güvenliğinin önemli bir yönü, ancak PCI DSS’deki Gereksinim 6’da (uygulamaları ele alan) açıkça belirtilmemiştir.
PA DSS’de daha birçok örnek bulunmaktadır. Satış için bir ödeme uygulaması geliştirilmese bile, bir uygulama geliştirilirken, güvenli ödeme uygulaması geliştirmede gözden geçirmek ve kullanmak için kodlama, güvenlik ve test ekipleri noktasında PA DSS’nin değerli bir belge olduğu göz önünde bulundurulmalıdır.
