PCI SSC首席技术官Troy Leach解读新支付软件安全标准
支付新视点2019/1/19 15:28:32

2019年1月17日(北京时间),PCI SSC发布了PCI安全软件标准PCI Securre Software Standard和PCI安全软件生命周期标准PCI Secure Software Lifecycle(Secure SLC)Standard,同属于PCI软件安全框架(PCI Software Security Framework)。这一框架是面向现代支付软件(Modern Payment Software)安全设计、开发、维护的标准集合。PCI SSC首席技术官Troy Leach对大家关心的问题做出了解读。

为什么PCI SSC引入了这些新的软件安全标准?

Troy Leach:随着时间的推移,软件开发实践不断发展,新标准用一种评估软件安全性的替代方法来解决这些变化。PCI软件安全框架引入了以目标为中心的安全实践,可以支持现有的证明良好应用程序安全性的方法以及各种更新的支付平台和开发实践。

支付卡行业是如何参与这些标准的制定的?

Troy Leach:在PCI软件安全标准的开发和审查中,我们努力获得尽可能多的不同观点。这包括邀请数百名代表软件供应商、评估师和其他支付安全专家的行业参与者进行他们的输入。例如,开发这些标准的许多专业知识来自专门的行业PCI软件安全工作组(SSTF)和多个征求意见期(RFC),以便PCI SSC利益相关者审查标准草案并提供意见。

什么是PCI安全软件标准?

Troy Leach:安全软件标准概述了安全要求和评估程序,以帮助确保支付软件充分保护支付交易和数据的完整性和保密性。

安全软件标准中提出的关键安全原则包括关键资产识别、安全默认配置、敏感数据保护、身份验证和访问控制、攻击检测和供应商安全指南。

在许多方面,本标准与支付应用程序数据安全标准(PA-DSS)的意图相似。这两个标准的目标都是要有一种方法来证明存储、处理或传输该信息的软件对支付数据的持续保护,软件供应商也要有一种方法来证明对软件进行独立的安全评估,以实现这一目标。

那么,PCI软件安全标准与PCI支付应用程序数据安全标准(PA-DSS)有何不同?

Troy Leach:PA-DSS专注于传统支付软件的软件开发和生命周期管理原则,以帮助商家维护PCI DSS的合规性。PCI软件安全标准的扩展超出了这一范围,以解决整体软件安全弹性问题。该框架为具有强大安全设计和开发实践的供应商提供了验证软件安全性的新方法和方法以及单独的安全软件生命周期确认。

换句话说,它们不是相互排斥的,而是提供一种渐进的方法,允许在描绘安全软件实践时使用其他替代方法。

PA-DSS和当前列在已验证付款申请的PA-DSS列表中的应用程序会发生什么情况?

Troy Leach:最终,PA-DSS和列表将被取消,支付应用程序将在PCI软件安全框架下进行评估。

在2019年晚些时候启动PCI软件安全框架验证计划后,将有一个逐步过渡期,允许当前投资PA-DSS的组织继续利用这些投资。所有当前经PA-DSS验证的付款申请将继续受PA-DSS计划的管辖,直至这些申请的到期日(即,经PA-DSS v3.2验证的支付软件截止于2022年)。

2020年中期,将结束新的PA-DSS提交,但当前的支付应用程序供应商仍将能够提交对现有PA-DSS验证的支付应用程序的更改,直到PA-DSS到期。在2022年PA-DSS 3.2到期后,所有经PA-DSS验证的付款申请将被转移到“仅可接受的现有部署”列表中,PA-DSS计划将退休。此时,需要根据PCI软件安全框架评估PA-DSS验证的支付应用程序的进一步更新。

如何使用PCI安全软件标准?

Troy Leach:PCI安全软件标准适用于为支持或促进支付交易而向第三方出售、分发或许可的支付软件。

我们还鼓励大型组织内部开发的定制产品考虑使用这些相同的做法。我们已经从一些商家那里听说,他们表示有兴趣采用这些实践作为一种方式,让他们证明他们独特的开发实践的完整性,以实现对PCI DSS需求6的一些测试验证。

PCI安全软件生命周期(Secure SLC)标准是什么?

Troy Leach:PCI软件安全框架最重要的方面之一,也是最近妥协中强调的一个一致性问题是,随着变化越来越重要,保持良好的应用程序安全性。


展开全文
相关阅读
资讯查询取消