Industria información

PCI SSC Lanzado Nuevo Validación Programas

2020-03-05 Author:Monica

El 26 de junio de 2019, el PCI Security Standards Council (PCI SSC) anunció dos nuevos programas de validación para uso de los proveedores de software de pago para demostrar que tanto sus prácticas de desarrollo como sus productos de software de pago abordan la resistencia de seguridad de software general para proteger los datos de pago. Bajo el Ciclo de vida de software seguro (Secure SLC) y los Programas de software seguro, los Evaluadores del marco de seguridad de software evaluarán a los proveedores y sus productos de software de pago con respecto a los Estándares de PCI Secure SLC y Secure Software. PCI SSC incluirá proveedores calificados de SLC seguros y software de pago validado en el sitio web de PCI SSC como un recurso para comerciantes.

PCI SSC presenta estos programas como parte del PCI Software Security Framework (SSF), una colección de estándares y programas para el diseño, desarrollo y mantenimiento seguros de software de pago existente y futuro. El SSF se expande más allá del alcance del Estándar de seguridad de datos de la aplicación de pago (PA-DSS) y reemplazará a PA-DSS, su programa y la Lista de aplicaciones de pago validadas cuando PA-DSS se retire en 2022. Durante el período intermedio, el PA- Los programas DSS y SSF se ejecutarán en paralelo, y el programa PA-DSS continuará funcionando como lo hace ahora.

La documentación del Programa Secure SLC y el Programa Secure Software ahora está disponible en el sitio web PCI SSC. Esto incluye guías de programas y preguntas frecuentes, con información sobre el proceso de validación del proveedor y del software de pago, y los requisitos de calificación para los evaluadores de SSF. PCI SSC planea comenzar a aceptar solicitudes de los evaluadores para fines de 2019. La capacitación estará disponible a principios de 2020, primero para los Evaluadores de seguridad calificados para aplicaciones de pago (PA-QSA) y QSA, y luego para los nuevos evaluadores. Una vez que los Evaluadores SSF están en su lugar, los proveedores pueden comenzar el proceso de validación para sus prácticas de ciclo de vida de software y software de pago.



Programa seguro de SLC


La validación del estándar Secure SLC ilustra que el proveedor de software cuenta con prácticas maduras de gestión segura del ciclo de vida del software para garantizar que su software de pago esté diseñado y desarrollado para proteger las transacciones y los datos de pago, minimizar las vulnerabilidades y defenderse de los ataques.

Luego de una evaluación exitosa por parte de un Asesor de SLC seguro, los proveedores de software validados serán reconocidos en la Lista de proveedores calificados de SLC de PCI SSC.

Los proveedores calificados de SLC calificados podrán autoafirmar los cambios delta para cualquiera de sus productos que están listados como Software de pago validado bajo el Programa de software seguro.


Programa de software seguro


La validación al Estándar de software seguro ilustra que el producto de software de pago está diseñado, diseñado, desarrollado y mantenido de una manera que protege las transacciones y los datos de pago, minimiza las vulnerabilidades y se defiende contra los ataques.

Inicialmente, este programa es específico para productos de software de pago que almacenan, procesan o transmiten datos de cuenta en texto claro, y están disponibles comercialmente y desarrollados por el proveedor para su venta a múltiples organizaciones. A medida que se agreguen nuevos módulos al Estándar de software seguro para abordar otros tipos de software, casos de uso y tecnologías, el alcance del programa se ampliará para admitirlos.

Luego de una evaluación exitosa realizada por un Asesor de Software Seguro, el software de pago validado será reconocido en la Lista PCI SSC de Software de Pago Validado, que reemplazará la Lista actual de Aplicaciones de Pago Validado de PA-DSS cuando PA-DSS se retire en octubre de 2022. Hasta entonces , PCI SSC continuará manteniendo el Programa PA-DSS y la lista, que incluye honrar las fechas de vencimiento de validación existentes y aceptar nuevas presentaciones PA-DSS hasta junio de 2021.



“These programs work together with the PCI Secure SLC and Secure Software Standards to help vendors address the security of both their development practices and their payment software products. We’re pleased to have the Secure SLC and Programa de software seguros documentation available now as the initial step towards providing the industry with validated listings of trusted payment software vendors and products under the PCI Software Security Framework,” said PCI SSC Chief Operating Officer Mauro Lance. “In the meantime, PCI SSC recognizes that transitioning from PA-DSS to the Software Security Framework will take time, and we want to reassure PA-DSS vendors, PA-QSAs and users of PA-DSS validated payment applications that the PA-DSS Program remains open and fully supported until October 2022, with no changes to how existing PA-DSS validated applications are handled.”