今年在温哥华举行的支付卡行业 (PCI) 社区会议上提出的主题之一是软件安全框架 (SSF)。新设计的框架特别关注支付软件的安全设计和开发。正如 PCI 安全标准委员会标准经理 Jake Marcinko 所定义的那样,SSF 是“一个框架,用于在具有支持验证和列表程序的单一需求架构下标准化和整合不同类型支付软件的软件安全需求,并且是PA-DSS”。

介绍软件安全框架 (SSF)

SSF 最终将取代当前的支付应用程序数据安全标准 (PA-DSS)。本文涵盖了新 SSF 的几个方面,包括感知的好处、目标、宏观层面的情况以及它如何影响商家和供应商。

支付卡行业安全标准委员会 (PCI SSC) 创建了这个新框架,为软件供应商提供额外的灵活性,并使支付软件开发与行业标准更好地保持一致,特别是围绕软件安全。因此,该框架允许更广泛的软件供应商提供经 PCI 验证的支付软件。它还可以让商家更加相信,添加到他们环境中的软件有助于遵守 PCI DSS 并遵守一套强大的安全控制。

SSF 将包含两 (2) 个标准;安全软件标准和安全软件生命周期 (Secure SLC)。这两个标准为软件供应商提供了更有效的验证过程的灵活性。它还允许将安全 SLC 管理过程与实际支付软件产品分开评估。该框架还将包括验证程序、支持材料(例如报告模板)以及兼容软件列表本身。

PCI SSF 模块创造更大的灵活性

软件安全框架包括对商家和软件供应商的好处。对于像 PA-DSS 一样的商家,该框架是一种轻松识别经过安全验证和认证过程的软件的方法,因此可以为商家提供一定程度的信心。但是,与 PA-DSS 不同的是,SSF 将支持多项安全工作和计划​​,明确侧重于安全设计和开发。对于供应商而言,该框架允许更广泛的支付平台阵容,以及在变更控制方面的更大灵活性,以帮助支持敏捷环境和 DevOps 团队。换言之,PA-DSS 专注于促进 PCI DSS 合规性。新的 SSF 解决了更广泛的软件安全问题,而不仅仅是 PCI DSS 合规性。

也许这个框架最重要和最强调的特征是它打算提供的灵活性级别。就像许多变化一样 PCI DSS v.4.0,新框架将更加客观。许多要求旨在促进某些结果,如果它们实现了预期结果,则供应商和/或评估员有责任记录并证明已达到目标。

委员会设计了 SSF 以提供模块化评估架构和方法,从而创造更大的灵活性。新方法意味着核心安全要求将适用于整个软件,并且可以对这些要求进行一次评估。然后可以单独评估处理某些特定于功能或特定于平台的元素的模块。为了完全符合 PCI SSF,软件必须满足相关模块中的核心要求和适用的附加要求。目前,已在 SSF 中创建了一个模块来解决身份验证问题,随着时间的推移,预计其他模块将添加到框架中。

SLC 流程认证优惠和供应商列表

新 SSF 方法最有趣的变化之一是,通过创建 SLC 流程认证选项,它允许 SLC 认证的供应商自行证明其软件的增量更改,而无需重新验证评估员。此外,新的 SSF 允许对以前不符合 PA-DSS 认证条件的不同类型的软件进行认证。然而,虽然新的 SLC 认证流程旨在提供额外的认证选项和灵活性,但软件供应商无需获得和证明 SLC 认证即可完成支付软件验证报告。

与 PA-DSS 一样,供应商和商家可以使用列表来审查经过验证的解决方案并确定可以协助合规工作的合格 PCI SSF 评估员。这些名单包括:

· SSF Assessor Company List – 提供执行评估的合格组织列表
· 经验证的支付软件列表——供商家、收单机构和其他支付软件用户使用
· Secure SLC Qualified Vendor List – 商户、收单机构和其他支付软件用户用来识别根据 Secure SLC 计划评估的支付软件

PA-DSS 和 SSF 时间线

最后,必须了解事件的时间表,以便商家和软件供应商做出相应的计划。 PA-DSS v3.2 将于 2022 年 10 月下旬到期。一旦 PA-DSS 退役,它将被 SSF 完全取代。在此之前,PA-DSS 和 SSF 计划同时运行,鼓励软件供应商在 SSF 框架下尽早采用和认证。通过使用新框架,供应商可以避免在 PA-DSS 认证到期时不合规。对于现有环境,PA-DSS 解决方案仍可在应用程序到期之前进行评估。届时,它们将被归类为“仅适用于预先存在的部署”状态,尽管供应商将能够在列出的到期日期之前提交对现有已批准软件的更改。最后,PA-DSS 验证的新支付申请的提交将在 2021 年 6 月 30 日之前接受,验证将在 2022 年 10 月底到期。 与 PA-DSS 一样,新 SSF 的验证有效期为三年,每年需要证明。

需要有关 PCI 合规性计划的帮助?对 PCI 合规性有疑问? 联系我们.我们随时为您提供帮助。

参考链接: