Ни для кого не секрет, что далеко не все компании, осуществляющие обработку данных платежных карт, используют исключительно «коробочные» версии платежных приложений. Одним проще сильно кастомизировать решение, чем менять устоявшиеся бизнес-процессы и информационную инфраструктуру. Другие ставят перед собой задачи настолько специфические, что для их решения просто не существует «коробочных» продуктов (по крайней мере, пока). Так или иначе, многие компании сталкиваются с разработкой платежных приложений, и выполняют ее либо своими силами, либо с помощью подрядных организаций.

Вопросы безопасности «коробочного» программного обеспечения (ПО) снимаются путем сертификации по PA-DSS, а для приложений, разработанных или кастомизированных под нужды отдельных компаний, существуют требования 6.3 и 6.5 PCI DSS, которые должны проверяться в ходе аудита этих компаний на соответствие PCI DSS. И если до выхода PCI DSS v. 3.0 применимость этих требований для внешней разработки была не очевидна и оставалась на понятийном уровне, то теперь стандарт явно указывает на то, что данные требования должны проверяться и для тех компаний, которые привлекают сторонних специалистов к разработке платежных приложений.

< ... >