支付卡行业安全标准委员会（PCI SSC）最近宣布了新的PCI软件安全框架。新的标准旨在提高接受付款并在其生态系统中使用支付数据的应用程序的安全弹性。在本文中了解有关PCI软件安全框架的所有信息。

什么是PCI软件安全框架？

该框架是一套新的标准，用于保护支付数据免受数据泄露和欺诈的影响。现代支付解决方案的安全设计，开发和维护有标准。该标准适用于为支持或促进支付交易而出售，分发或许可给第三方的支付软件。

更新后的PCI框架部分是对支付数据泄露和信用卡欺诈在媒体头条中仍然司空见惯的回应，即使供应商必须遵守现有标准。截至2018年11月的12个月内，多达6,000万张美国支付卡遭到入侵。

该框架还承认现代软件开发实践的发展。自最初的PA-DSS指南发布以来，敏捷，DevOps和持续集成/交付（CI / CD）等实践已在开发团队中广泛使用。这些现代开发实践有助于更快，更频繁地进行软件部署，从而产生对更新安全标准的需求。

PCI SSC希望支付软件供应商将安全性早期嵌入开发周期。新标准还认识到需要在整个软件生命周期中正确管理支付软件的安全性。

根据PCI SSC首席技术官Troy Leach的说法，新框架“通过为开发人员提供动态方式展示他们的软件来保护下一代应用程序的支付数据，支持支付软件实践的这种演变。”

帮助开发标准的Steve Lipner很高兴他们如何强调“将安全性集成到软件开发过程中，而不是试图通过事后测试来确保安全性。”

新框架下的两个主要标准是：

PCI安全软件标准（PCI SSS） - 支付软件的安全要求和评估程序，用于保护支付数据的完整性和机密性。

PCI安全软件生命周期标准（PCI安全SLC） - 软件供应商的安全要求和评估程序可确保他们在整个软件生命周期内正确管理支付软件的安全性。

PCI SSC听取了数百名支付卡行业参与者的意见，以帮助创建新标准。这些参与者包括软件供应商和支付安全专家。

2019年更新和影响

在2019年1月的新闻稿中，PCI SSC宣布发布现代支付软件安全设计和开发的新要求。这个新框架将取代目前在2008年4月推出的PA-DSS全球安全标准.PA-DSS标准将在2022年退役，并在三年过渡期后替换为PCI软件安全框架（PCI SSF） 。

持续测试和监控

新框架的一个重要含义是关注持续的应用程序安全性。支付软件的供应商需要不断测试其应用程序安全控制并提供其强度的证据。他们还需要展示持续威胁监测的证据，并使安全防御适应不断变化的条件。

新框架中接受交互式应用程序安全性测试（IAST）工具。这种强大的测试技术比传统的静态和动态测试工具提供更快的结果。使用IAST工具可以帮助实现新标准的合规性，而不会在开发速度上有太大的影响。

用新标准实现验证

为了证明符合安全软件标准，PCI认证的评估公司会对供应商的支付软件进行评估。评估会查看所有软件安全功能，功能和功能，以确定它们是否符合相关要求。验证报告将发送至PCI SSC进行审核，理事会将供应商添加到其经过验证的支付软件列表中。

PCI Secure SLC标准采用类似的程序。不同之处在于评估员评估供应商的安全软件生命周期管理实践。验证两个标准之一并不意味着对另一个标准的验证。

开源含义

安全软件标准提到其要求的范围扩展到所有支付软件组件和依赖关系的范围，包括开源库和服务。

此外，PCI安全SLC标准要求供应商提供正确管理开源组件的证据。此管理包括保留开源库存，能够查找和删除易受攻击的组件，以及采用适当的修补策略以快速应用组件更新。

这意味着如果支付软件供应商想要对这些标准中的任何一个进行验证，他们必须密切关注他们如何管理和使用开源组件。

往前走

显然需要做出重大改变以改善支付软件的安全性，特别是考虑到最近高调违反信用卡信息和其他支付细节的数量。PCI框架具有更严格的要求，有望在不影响开发速度或灵活性的情况下减少此类事件。

三年的过渡期为供应商提供了相当长的时间来调整流程并符合新标准。但是，遵守任何新规定通常会带来令人头疼的问题，因此建议尽早开始实施任何必要的变更。

相关文章