산업 정보

PCI SSC 런칭 새로운 확인 프로그램들

2020-03-05

PCI SSC (PCI Security Standards Council)는 2019 년 6 월 26 일 지불 소프트웨어 공급 업체가 개발 관행과 지불 소프트웨어 제품이 지불 데이터를 보호하기 위해 전체 소프트웨어 보안 탄력성을 해결 함을 입증하기 위해 사용할 두 가지 새로운 검증 프로그램을 발표했습니다. Secure Software Lifecycle (Secure SLC) 및 안전한 소프트웨어 프로그램s에서 Software Security Framework Assessors는 PCI Secure SLC 및 Secure Software Standards에 대해 공급 업체 및 지불 소프트웨어 제품을 평가합니다. PCI SSC는 PCI SSC 웹 사이트에 판매자를위한 리소스로 Secure SLC 적격 공급 업체 및 검증 된 지불 소프트웨어를 나열합니다.

PCI SSC는 기존 및 향후 지불 소프트웨어의 안전한 설계, 개발 및 유지 보수를위한 표준 및 프로그램 모음 인 PCI Software Security Framework (SSF)의 일부로 이러한 프로그램을 소개합니다. SSF는 PA-DSS (Payment Application Data Security Standard)의 범위를 넘어 2022 년에 PA-DSS가 폐기 될 때 PA-DSS, 프로그램 및 검증 된 지불 응용 프로그램 목록을 대체합니다. DSS와 SSF 프로그램은 PA-DSS 프로그램이 현재처럼 계속 작동하면서 병렬로 실행됩니다.

보안 SLC 프로그램 및 보안 소프트웨어 프로그램 설명서는 이제 PCI SSC 웹 사이트에서 제공됩니다. 여기에는 공급 업체 및 지불 소프트웨어 유효성 검사 프로세스 및 SSF 평가자 자격 요건에 대한 정보가 포함 된 프로그램 안내서 및 FAQ가 포함됩니다. PCI SSC는 2019 년 말까지 평가자의 신청서 접수를 시작할 계획입니다. 우선 2020 년 초에 PA-QSA (Payment Application Qualified Security Assessors) 및 QSA에 대한 교육을 실시한 후 새로운 평가자를 대상으로 교육을 진행할 예정입니다. SSF 평가자가 설치되면 공급 업체는 소프트웨어 수명주기 관행 및 지불 소프트웨어에 대한 유효성 검사 프로세스를 시작할 수 있습니다.



안전한 SLC 프로그램


Secure SLC Standard에 대한 검증은 소프트웨어 공급 업체가 지불 트랜잭션 및 데이터를 보호하고 취약성을 최소화하며 공격을 방어 할 수 있도록 지불 소프트웨어가 설계 및 개발되도록하기 위해 보안 소프트웨어 라이프 사이클 관리 관행을 성숙 시켰음을 보여줍니다.

Secure SLC Assessor가 성공적으로 평가하면 검증 된 소프트웨어 공급 업체가 PCI SSC Secure SLC 인증 공급 업체 목록에서 인정됩니다.

Secure SLC 적격 공급 업체는 안전한 소프트웨어 프로그램에서 Validated Payment Software로 표시되는 모든 제품에 대한 델타 변경 사항을 자체 검증 할 수 있습니다.


안전한 소프트웨어 프로그램


Secure Software Standard에 대한 검증은 지불 소프트웨어 제품이 지불 거래 및 데이터를 보호하고 취약성을 최소화하며 공격을 방어하는 방식으로 설계, 엔지니어링, 개발 및 유지 보수됨을 보여줍니다.

처음에이 프로그램은 일반 텍스트 계정 데이터를 저장, 처리 또는 전송하는 지불 소프트웨어 제품에만 적용되며 공급 업체가 여러 조직에 판매 할 수 있도록 상용으로 개발 및 개발됩니다. 다른 소프트웨어 유형, 사용 사례 및 기술을 처리하기 위해 새 모듈이 Secure Software Standard에 추가되면이를 지원하기 위해 프로그램 범위가 확장됩니다.

Secure Software Assessor가 성공적으로 평가 한 후, 검증 된 지불 소프트웨어는 PCI SSC 검증 된 지불 소프트웨어리스트에서 인식되며, PA-DSS가 2022 년 10 월에 폐기 될 때 현재 PA-DSS 검증 된 지불 어플리케이션 목록을 대체합니다. PCI SSC는 PA-DSS 프로그램과 목록을 계속 유지합니다. 여기에는 기존 유효성 검사 만료 날짜를 존중하고 2021 년 6 월까지 새로운 PA-DSS 제출을 수락하는 것이 포함됩니다.



“These programs work together with the PCI Secure SLC and Secure Software Standards to help vendors address the security of both their development practices and their payment software products. We’re pleased to have the Secure SLC and 안전한 소프트웨어 프로그램s documentation available now as the initial step towards providing the industry with validated listings of trusted payment software vendors and products under the PCI Software Security Framework,” said PCI SSC Chief Operating Officer Mauro Lance. “In the meantime, PCI SSC recognizes that transitioning from PA-DSS to the Software Security Framework will take time, and we want to reassure PA-DSS vendors, PA-QSAs and users of PA-DSS validated payment applications that the PA-DSS Program remains open and fully supported until October 2022, with no changes to how existing PA-DSS validated applications are handled.”