支付卡行業安全標準委員會（PCI SSC）最近宣佈了新的PCI軟件安全框架。新的標準旨在提高接受付款並在其生態系統中使用支付數據的應用程序的安全彈性。在本文中瞭解有關PCI軟件安全框架的所有信息。

什麼是PCI軟件安全框架？

該框架是一套新的標準，用於保護支付數據免受數據泄露和欺詐的影響。現代支付解決方案的安全設計，開發和維護有標準。該標準適用於爲支持或促進支付交易而出售，分發或許可給第三方的支付軟件。

更新後的PCI框架部分是對支付數據泄露和信用卡欺詐在媒體頭條中仍然司空見慣的回應，即使供應商必須遵守現有標準。截至2018年11月的12個月內，多達6,000萬張美國支付卡遭到入侵。

該框架還承認現代軟件開發實踐的發展。自最初的PA-DSS指南發佈以來，敏捷，DevOps和持續集成/交付（CI / CD）等實踐已在開發團隊中廣泛使用。這些現代開發實踐有助於更快，更頻繁地進行軟件部署，從而產生對更新安全標準的需求。

PCI SSC希望支付軟件供應商將安全性早期嵌入開發週期。新標準還認識到需要在整個軟件生命週期中正確管理支付軟件的安全性。

根據PCI SSC首席技術官Troy Leach的說法，新框架“通過爲開發人員提供動態方式展示他們的軟件來保護下一代應用程序的支付數據，支持支付軟件實踐的這種演變。”

幫助開發標準的Steve Lipner很高興他們如何強調“將安全性集成到軟件開發過程中，而不是試圖通過事後測試來確保安全性。”

新框架下的兩個主要標準是：

PCI安全軟件標準（PCI SSS） - 支付軟件的安全要求和評估程序，用於保護支付數據的完整性和機密性。

PCI安全軟件生命週期標準（PCI安全SLC） - 軟件供應商的安全要求和評估程序可確保他們在整個軟件生命週期內正確管理支付軟件的安全性。

PCI SSC聽取了數百名支付卡行業參與者的意見，以幫助創建新標準。這些參與者包括軟件供應商和支付安全專家。

2019年更新和影響

在2019年1月的新聞稿中，PCI SSC宣佈發佈現代支付軟件安全設計和開發的新要求。這個新框架將取代目前在2008年4月推出的PA-DSS全球安全標準.PA-DSS標準將在2022年退役，並在三年過渡期後替換爲PCI軟件安全框架（PCI SSF） 。

持續測試和監控

新框架的一個重要含義是關注持續的應用程序安全性。支付軟件的供應商需要不斷測試其應用程序安全控制並提供其強度的證據。他們還需要展示持續威脅監測的證據，並使安全防禦適應不斷變化的條件。

新框架中接受交互式應用程序安全性測試（IAST）工具。這種強大的測試技術比傳統的靜態和動態測試工具提供更快的結果。使用IAST工具可以幫助實現新標準的合規性，而不會在開發速度上有太大的影響。

用新標準實現驗證

爲了證明符合安全軟件標準，PCI認證的評估公司會對供應商的支付軟件進行評估。評估會查看所有軟件安全功能，功能和功能，以確定它們是否符合相關要求。驗證報告將發送至PCI SSC進行審覈，理事會將供應商添加到其經過驗證的支付軟件列表中。

PCI Secure SLC標準採用類似的程序。不同之處在於評估員評估供應商的安全軟件生命週期管理實踐。驗證兩個標準之一併不意味着對另一個標準的驗證。

開源含義

安全軟件標準提到其要求的範圍擴展到所有支付軟件組件和依賴關係的範圍，包括開源庫和服務。

此外，PCI安全SLC標準要求供應商提供正確管理開源組件的證據。此管理包括保留開源庫存，能夠查找和刪除易受攻擊的組件，以及採用適當的修補策略以快速應用組件更新。

這意味着如果支付軟件供應商想要對這些標準中的任何一個進行驗證，他們必須密切關注他們如何管理和使用開源組件。

往前走

顯然需要做出重大改變以改善支付軟件的安全性，特別是考慮到最近高調違反信用卡信息和其他支付細節的數量。PCI框架具有更嚴格的要求，有望在不影響開發速度或靈活性的情況下減少此類事件。

三年的過渡期爲供應商提供了相當長的時間來調整流程並符合新標準。但是，遵守任何新規定通常會帶來令人頭疼的問題，因此建議儘早開始實施任何必要的變更。

相關文章