麻薩諸塞州韋克菲爾德--(美國商業資訊)--今天,支付卡產業安全標準協會(PCI SSC)公佈了對現代支付軟體安全設計和開發的新要求。PCI安全軟體標準和PCI安全生命週期(Secure SLC)標準是新的PCI軟體安全架構的一部分,新架構包括針對軟體供應商及其軟體產品的驗證計畫以及針對評估人員的資格認證計畫。這些計畫將於2019年稍晚推出。
PCI SSC科技長Troy Leach表示:「支付創新正在以令人難以置信的速度發展。每一次進步都為業界提供了比以前更快、更有效率地開發應用程式,並為支付驗收新平臺設計軟體的機會。新的PCI安全軟體標準和PCI安全生命週期標準都支援軟體實務的這種演進,讓開發人員能夠以動態方式展示他們的軟體對下一代應用程式所提供的支付資料保護。」
PCI軟體安全標準超出了傳統支付軟體的支付應用程式資料安全標準(PA-DSS)的範圍,以解決現代支付軟體的整體軟體安全韌性問題。特別是:
· PCI安全軟體標準指出了安全要求和評估程序的要點,以協助確保支付軟體能夠充分保護支付交易和資料的完整性和機密性。
- PCI安全生命週期標準指出了安全要求和評估程序的要點,讓軟體供應商可以驗證他們如何在整個軟體生命週期內正確管理支付軟體的安全性。
這些標準將取代PA-DSS,並在2022年PA-DSS廢除時生效。與此同時,對於擁有PA-DSS投資的組織將有一個漸進的過渡期。有關新標準和PA-DSS過渡期的更多資訊,請閱讀PCI Perspectives網誌文章最新公佈:PCI軟體安全新標準。
PCI軟體安全標準是在一個由支付卡產業參與者組成的專門工作組的協助下開發的。PCI SSC參與組織和評估人員也在整個開發過程中透過多次意見徵求(RFC),對標準進行了審查並提供相關回饋。
卓越代碼軟體保證論壇(SAFECode)執行董事Steve Lipner參加了PCI軟體安全工作組,他表示:「我很高興參與PCI安全軟體生命週期標準最終版本的審查。該文件清楚反映了為適應支付卡產業的需求及其認證過程而採行的軟體安全最佳實務,並且與SAFECode的原則和SAFECode安全軟體發展基本實務的概念完全一致。我特別高興地看到該標準強調將安全性整合到軟體開發過程中,而不是試圖以事後測試來保證安全。」
PCI安全軟體標準、PCI安全生命週期標準、輔助性FAQ文件以及術語、縮略語和首字母縮略詞表可在PCI SSC網站的文件庫下載。
關於支付卡產業安全標準協會
支付卡產業安全標準協會(PCI SSC)是跨產業的全球性開放式論壇,致力於提供靈活、有效且以產業為導向的資料安全標準和計畫來提高支付安全性,協助企業偵測、緩解和防範網路攻擊和漏洞。在LinkedIn上與PCI SSC保持聯絡。在Twitter@PCISSC上參與對話。訂閱PCI Perspectives網誌。
原文版本可在businesswire.com上查閱:https://www.businesswire.com/news/home/20190116005557/en/
免責聲明:本公告之原文版本乃官方授權版本。譯文僅供方便瞭解之用,煩請參照原文,原文版本乃唯一具法律效力之版本。
聯絡方式:
Mark Meissner
支付卡產業安全標準協會
+1-202-744-8557
press@pcisecuritystandards.org
Twitter @PCISSC