Průmysl informace

PCI SSC Zahájeno Nový Validace Programy

2020-03-05

Dne 26. června 2019 Rada PCI pro bezpečnostní standardy (PCI SSC) oznámila dva nové ověřovací programy, které používají prodejci platebního softwaru, aby prokázali, že jak jejich vývojové postupy, tak i jejich platební softwarové produkty řeší celkovou odolnost softwarového zabezpečení k ochraně platebních dat. V rámci životního cyklu zabezpečeného softwaru (Secure SLC) a programů zabezpečeného softwaru vyhodnotí hodnotitelé softwarového zabezpečení rámec dodavatele a jejich platební softwarové produkty podle standardů PCI Secure SLC a Secure Software. PCI SSC uvede na webové stránce PCI SSC seznam zabezpečených dodavatelů SLC a ověřený platební software jako zdroj pro obchodníky.

PCI SSC zavádí tyto programy jako součást PCI Software Security Framework (SSF), kolekce standardů a programů pro bezpečný návrh, vývoj a údržbu stávajícího a budoucího platebního softwaru. SSF se rozšiřuje nad rámec standardu zabezpečení údajů o aplikacích plateb (PA-DSS) a nahradí PA-DSS, jeho program a seznam validovaných platebních aplikací, když je PA-DSS v roce 2022 v důchodu. Programy DSS a SSF poběží paralelně, přičemž program PA-DSS bude nadále fungovat jako nyní.

Program Zabezpečený program SLC a Program zabezpečeného softwaru je nyní k dispozici na webových stránkách PCI SSC. To zahrnuje programové příručky a časté dotazy s informacemi o procesu ověření dodavatele a platebního softwaru a požadavky na kvalifikaci pro hodnotitele SSF. PCI SSC plánuje začít přijímat žádosti od hodnotitelů do konce roku 2019. Školení bude k dispozici počátkem roku 2020, nejprve pro kvalifikované bezpečnostní posuzovatele aplikací pro platby (PA-QSA) a QSA a poté pro nové hodnotitele. Jakmile jsou zavedeni hodnotitelé SSF, mohou prodejci zahájit proces ověřování svých postupů životního cyklu softwaru a platebního softwaru.



Zabezpečený program SLC


Ověření podle standardu Secure SLC ilustruje, že dodavatel softwaru má zavedené postupy správy životního cyklu zabezpečeného softwaru, aby zajistil, že jeho platební software je navržen a vyvinut pro ochranu platebních transakcí a dat, minimalizaci zranitelných míst a obranu před útoky.

Po úspěšném vyhodnocení hodnotitelem zabezpečeného SLC budou validovaní dodavatelé softwaru rozpoznáni v seznamu PCI SSC kvalifikovaných dodavatelů SLC.

Kvalifikovaní dodavatelé bezpečných licencí SLC si budou moci sami osvědčit delta změny u všech svých produktů, které jsou uvedeny jako ověřený platební software v rámci programu zabezpečeného softwaru.


Program zabezpečeného softwaru


Ověření podle standardu zabezpečeného softwaru ukazuje, že produkt platebního softwaru je navržen, zkonstruován, vyvinut a udržován způsobem, který chrání platební transakce a data, minimalizuje zranitelnosti a brání před útoky.

Zpočátku je tento program specifický pro platební softwarové produkty, které ukládají, zpracovávají nebo přenášejí data účtu s čistým textem, a jsou komerčně dostupné a vyvíjené prodejcem k prodeji několika organizacím. Protože se do standardu Secure Software Standard přidávají nové moduly, které se zabývají jinými typy softwaru, případy použití a technologiemi, rozšíří se rozsah programu tak, aby je podporoval.

Po úspěšném vyhodnocení ze strany zabezpečeného hodnotitele softwaru bude ověřený platební software rozpoznán v seznamu ověřených platebních programů PCI SSC, který nahradí aktuální seznam ověřených platebních aplikací PA-DSS, když bude PA-DSS v říjnu 2022 v důchodu. Do té doby , PCI SSC bude i nadále udržovat program a seznam PA-DSS, který zahrnuje dodržování stávajících dat vypršení platnosti a přijímání nových podání PA-DSS do června 2021.



“These programs work together with the PCI Secure SLC and Secure Software Standards to help vendors address the security of both their development practices and their payment software products. We’re pleased to have the Secure SLC and Program zabezpečeného softwarus documentation available now as the initial step towards providing the industry with validated listings of trusted payment software vendors and products under the PCI Software Security Framework,” said PCI SSC Chief Operating Officer Mauro Lance. “In the meantime, PCI SSC recognizes that transitioning from PA-DSS to the Software Security Framework will take time, and we want to reassure PA-DSS vendors, PA-QSAs and users of PA-DSS validated payment applications that the PA-DSS Program remains open and fully supported until October 2022, with no changes to how existing PA-DSS validated applications are handled.”