WAKEFIELD, Massachusetts--(BUSINESS WIRE)--Aujourd'hui, le PCI SSC (Conseil des normes de PCI Security) a publié de nouvelles exigences pour une conception et un développement sécurisés de logiciels de paiement modernes. La norme logicielle de PCI Secure et la norme de PCI Secure Lifecycle (Secure SLC) font partie d’un nouveau Cadre de sécurité logicielle de PCI, qui comprend un programme de validation pour les fournisseurs de logiciels et leurs produits logiciels et un programme de qualification pour les évaluateurs. Les programmes seront lancés plus tard en 2019.
« L’innovation en matière de paiements avance à un rythme inimaginable. Chaque nouveau progrès offre à l'industrie la possibilité de développer des applications plus rapidement et plus efficacement qu'auparavant et également de concevoir des logiciels pour les nouvelles plateformes d'acceptation de paiement », a déclaré Troy Leach, directeur de la technologie au PCI SSC. « Les nouvelles normes logicielles PCI Secure et PCI Secure SLC prennent en charge cette évolution des pratiques en matière de logiciels de paiement en offrant aux développeurs un moyen dynamique de démontrer que leurs logiciels protègent les données de paiement de la prochaine génération d'applications ».
Les normes de sécurité des logiciels PCI vont au-delà de la norme PA-DSS (Norme de sécurité des données d'applications de paiement) afin que les logiciels de paiement traditionnels répondent à la résilience globale de sécurité des logiciels pour les logiciels de paiement modernes. En particulier :
- La norme logicielle de PCI Secure décrit les exigences de sécurité et les procédures d'évaluation permettant de garantir que le logiciel de paiement protège correctement l'intégrité et la confidentialité des transactions et données de paiement.
- La norme de PCI Secure SLC définit les exigences de sécurité et les procédures d'évaluation permettant aux fournisseurs de logiciels de valider leur manière de gérer convenablement la sécurité des logiciels de paiement tout au long de leur cycle de vie.
Ces normes remplaceront la norme PA-DSS et figureront sur la liste lorsque celle-ci deviendra caduque en 2022. Entre-temps, une période de transition progressive sera mise en place pour les organisations qui investissent dans la norme PA-DSS. Pour de plus amples informations sur les nouvelles normes et la période de transition PA-DSS, veuillez lire l'article du blog concernant les perspectives de PCI, Just Published: New PCI Software Security Standards.
Les normes de sécurité du logiciel de PCI ont été élaborées avec l’aide d’un groupe de travail composé d'acteurs dans le secteur des cartes de paiement. Les organisations participantes et les évaluateurs du PCI SSC ont également examiné et formulé des commentaires sur les normes en participant à de multiples périodes d'appels à commentaires (AàC) tout au long du processus de développement.
Steve Lipner, directeur exécutif du Forum de l'assurance logicielle pour l'excellence en code (SAFECode), a participé au groupe de travail sur la sécurité des logiciels de PCI et a déclaré : « J'ai été très heureux de revoir la version finale de la norme de sécurisation du logiciel sécurisé de PCI. Le document reflète clairement une adaptation des meilleures pratiques en matière de sécurité des logiciels aux besoins du secteur des cartes de paiement et de leur processus de certification. Il est en parfaite harmonie avec les principes de SAFECode et les concepts des pratiques fondamentales de SAFECode concernant le développement sécurisé de logiciels. J'étais particulièrement heureux de voir que l'accent a été mis sur l'intégration de la sécurité dans le processus de développement logiciel plutôt que de tenter de garantir la sécurité en effectuant des tests a posteriori ».
La norme logicielle de PCI Secure, la norme de PCI Secure SLC, un document de référence ainsi qu'un glossaire de termes, des abréviations et des acronymes peuvent être téléchargés à partir de la bibliothèque de documents sur le site Web de PCI SSC.
À propos du conseil des normes de PCI Security
Le Conseil
des normes de PCI Security (PCI SSC) prend la tête au niveau mondial
dans le but d'accroître la sécurité des paiements en proposant des
normes et des programmes de sécurité des données flexibles et efficaces,
conçus pour aider les entreprises à détecter, limiter et prévenir les
cyberattaques et les violations. Connectez-vous avec le PCI SSC sur LinkedIn.
Joignez-vous à nous sur Twitter @PCISSC.
Incrivez-vous au PCI
Perspectives Blog.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.