PCI SSC安全标准委员会发布新的支付软件安全标准
移动支付网 2019/1/18 9:58:22

1月17日,PCI安全标准委员会(PCI SSC)发布了现代支付软件安全设计和开发的新要求。PCI安全软件标准和PCI安全生命周期(Secure SLC)标准是新的PCI软件安全框架的一部分,新框架包括针对软件供应商及其软件产品的验证计划以及针对评估人员的资格认证计划。这些计划将于2019年晚些时候推出。

PCI SSC首席技术官Troy Leach表示:“支付创新正在以令人难以置信的速度发展。每一次进步都为行业提供了比以前更快、更高效地开发应用程序,并为支付验收新平台进行软件设计的机会。新的PCI安全软件标准和PCI Secure SLC标准同样符合软件实践的这种演进,让开发人员能够以动态的方式展示他们的软件对下一代应用程序的支付数据所提供的保护。”

PCI软件安全标准超出了传统支付软件的支付应用程序数据安全标准(PA-DSS)的范围,以解决现代支付软件的整体安全弹性问题。特别是:

PCI安全软件标准指出了安全要求和评估程序的要点,以帮助确保支付软件能够充分保护支付交易和数据的完整性和机密性。

PCI Secure SLC标准指出了安全要求和评估程序的要点,让软件供应商可以验证他们如何在整个软件生命周期内正确管理支付软件的安全性。

这些标准将取代PA-DSS,并在2022年PA-DSS被废除时生效。与此同时,对于拥有PA-DSS投资的组织将有一个渐进的过渡期。有关新标准和PA-DSS过渡期的更多信息,请阅读PCI Perspectives博客文章最新发布:PCI软件安全新标准。

PCI软件安全标准是在一个由支付卡行业参与者组成的专门工作组的协助下开发的。PCI SSC参与组织和评估人员也在整个开发过程中通过多次请求评议(RFC)对标准进行了审查并提供了相关反馈。

卓越代码软件保证论坛(SAFECode)执行董事Steve Lipner参加了PCI软件安全工作组,他表示:“我很高兴参与PCI安全软件生命周期标准最终版本的审查。该文件清楚地反映了为适应支付卡行业的需求及其认证过程而采纳的软件安全最佳实践,并且与SAFECode的原则和SAFECode安全软件开发基础实践的概念完全一致。我特别高兴地看到该标准强调将安全性集成到软件开发过程中,而不是试图通过事后测试来保证安全。”

PCI安全软件标准、PCI Secure SLC标准、支持性FAQ文档以及术语、缩略语和首字母缩略词表可在PCI SSC网站的文档库下载。


展开全文
相关阅读
资讯查询取消