佳友通为生活加分
您现在的位置:主页 > 新闻中心 > 行业资讯 >


PCI SSC首席技术官解读新支付软件安全标准

   关键词 : PCI SSC 支付软件 支付应用    发布时间 : 2019-01-21     作者 : 


近日,PCI安全标准委员会(PCI SSC)发布了现代支付软件安全设计和开发的新要求。PCI安全软件标准和PCI安全生命周期(Secure SLC)标准是新的PCI软件安全框架的一部分,新框架包括针对软件供应商及其软件产品的验证计划以及针对评估人员的资格认证计划。这些计划将于2019年晚些时候推出。


PCI Secure SLC标准指出了安全要求和评估程序的要点,让软件供应商可以验证他们如何在整个软件生命周期内正确管理支付软件的安全性。

这些标准将取代PA-DSS,并在2022年PA-DSS被废除时生效。与此同时,对于拥有PA-DSS投资的组织将有一个渐进的过渡期。




PCI SSC首席技术官对大家关心的问题做出了解读。

为什么PCI SSC引入了这些新的软件安全标准?

PCI SSC首席技术官:随着时间的推移,软件开发实践不断发展,新标准用一种评估软件安全性的替代方法来解决这些变化。PCI软件安全框架引入了以目标为中心的安全实践,可以支持现有的证明良好应用程序安全性的方法以及各种更新的支付平台和开发实践。

支付卡行业是如何参与这些标准的制定的?

PCI SSC首席技术官:在PCI软件安全标准的开发和审查中,我们努力获得尽可能多的不同观点。这包括邀请数百名代表软件供应商、评估师和其他支付安全专家的行业参与者进行他们的输入。例如,开发这些标准的许多专业知识来自专门的行业PCI软件安全工作组(SSTF)和多个征求意见期(RFC),以便PCI SSC利益相关者审查标准草案并提供意见。

什么是PCI安全软件标准?

PCI SSC首席技术官:安全软件标准概述了安全要求和评估程序,以帮助确保支付软件充分保护支付交易和数据的完整性和保密性。

安全软件标准中提出的关键安全原则包括关键资产识别、安全默认配置、敏感数据保护、身份验证和访问控制、攻击检测和供应商安全指南。

在许多方面,本标准与支付应用程序数据安全标准(PA-DSS)的意图相似。这两个标准的目标都是要有一种方法来证明存储、处理或传输该信息的软件对支付数据的持续保护,软件供应商也要有一种方法来证明对软件进行独立的安全评估,以实现这一目标。




那么,PCI软件安全标准与PCI支付应用程序数据安全标准(PA-DSS)有何不同?

PCI SSC首席技术官:PA-DSS专注于传统支付软件的软件开发和生命周期管理原则,以帮助商家维护PCI DSS的合规性。PCI软件安全标准的扩展超出了这一范围,以解决整体软件安全弹性问题。该框架为具有强大安全设计和开发实践的供应商提供了验证软件安全性的新方法和方法以及单独的安全软件生命周期确认。

换句话说,它们不是相互排斥的,而是提供一种渐进的方法,允许在描绘安全软件实践时使用其他替代方法。

PA-DSS和当前列在已验证付款申请的PA-DSS列表中的应用程序会发生什么情况?

PCI SSC首席技术官:最终,PA-DSS和列表将被取消,支付应用程序将在PCI软件安全框架下进行评估。

在2019年晚些时候启动PCI软件安全框架验证计划后,将有一个逐步过渡期,允许当前投资PA-DSS的组织继续利用这些投资。所有当前经PA-DSS验证的付款申请将继续受PA-DSS计划的管辖,直至这些申请的到期日(即,经PA-DSS v3.2验证的支付软件截止于2022年)。

2020年中期,将结束新的PA-DSS提交,但当前的支付应用程序供应商仍将能够提交对现有PA-DSS验证的支付应用程序的更改,直到PA-DSS到期。在2022年PA-DSS 3.2到期后,所有经PA-DSS验证的付款申请将被转移到“仅可接受的现有部署”列表中,PA-DSS计划将退休。此时,需要根据PCI软件安全框架评估PA-DSS验证的支付应用程序的进一步更新。

如何使用PCI安全软件标准?

PCI SSC首席技术官:PCI安全软件标准适用于为支持或促进支付交易而向第三方出售、分发或许可的支付软件。

我们还鼓励大型组织内部开发的定制产品考虑使用这些相同的做法。我们已经从一些商家那里听说,他们表示有兴趣采用这些实践作为一种方式,让他们证明他们独特的开发实践的完整性,以实现对PCI DSS需求的一些测试验证。





下一篇:国之利器 :人民币跨境支付系统「CIPS」
上一篇:2018年银联网络转接交易金额120.4万亿元
相关热门文章推荐

央行副行长:将推动不同App和条码的互认互扫

中国银联正式推出刷脸支付服务

微信支付钱包入口低调上线“银行储蓄”服务

移动支付业务的发展前景、思考与建议

中国银联与国家信息中心、中国移动共同发布区块链服务网络