PCI Security Standards Council veröffentlicht neue Software-Sicherheitsstandards

—Neue PCI-Standards für Softwareanbieter zur Förderung der Entwicklung sicherer Softwarelösungen für die nächste Zahlungsgeneration; Payment Application Data Security Standard (PA-DSS) soll 2022 auslaufen

WAKEFIELD, Massachusetts--()--Das PCI Security Standards Council (PCI SSC) hat heute neue Anforderungen für die sichere Gestaltung und Entwicklung moderner Zahlungssoftware veröffentlicht. Der PCI Secure Software Standard und der PCI Secure Lifecycle (Secure SLC) Standard sind Teil eines neuen PCI Software Security Framework, das ein Validierungsprogramm für Softwareanbieter und deren Softwareprodukte sowie ein Qualifizierungsprogramm für Prüfer beinhaltet. Die Programme sollen noch 2019 gestartet werden.

„Die Innovation im Zahlungsverkehr besitzt eine unglaublich hohe Dynamik. Jede Weiterentwicklung bietet der Branche die Möglichkeit, Anwendungen schneller und effizienter als bisher zu entwickeln und Software für neue Plattformen zur Zahlungsakzeptanz zu entwickeln“, sagte PCI SSC Chief Technology Officer Troy Leach. „Der neue PCI Secure Software Standard und der PCI Secure SLC Standard unterstützen diese Entwicklung in der Zahlungssoftware-Praxis, indem sie Entwicklern eine dynamische Möglichkeit bieten, zu demonstrieren, dass ihre Software Zahlungsdaten für die nächste Generation von Anwendungen schützt.“

Die PCI Software Security Standards gehen über den Payment Application Data Security Standard (PA-DSS) für traditionelle Zahlungssoftware hinaus, um die allgemeine Software-Sicherheitsresilienz für moderne Zahlungssoftware zu gewährleisten. Konkret heißt das:

  • Der PCI Secure Software Standard beschreibt Sicherheitsanforderungen und Bewertungsverfahren, um sicherzustellen, dass Zahlungssoftware die Integrität und Vertraulichkeit von Zahlungsvorgängen und Daten angemessen schützt.
  • Der PCI Secure SLC Standard beschreibt Sicherheitsanforderungen und Bewertungsverfahren für Softwarehersteller, um zu überprüfen, wie diese die Sicherheit von Zahlungssoftware während des gesamten Software-Lebenszyklus ordnungsgemäß verwalten.

Diese Normen werden das PA-DSS und die Listung ersetzen, wenn es 2022 ausläuft. In der Zwischenzeit wird es eine schrittweise Übergangsphase für Unternehmen mit Investitionen in PA-DSS geben. Weitere Informationen zu den neuen Standards und der Übergangsphase von PA-DSS finden Sie im PCI Perspectives-Blogbeitrag „Just Published: New PCI Software Security Standards“.

Die PCI Software Security Standards wurden unter Mitwirkung einer speziellen Task Force entwickelt, die sich aus Unternehmen der Zahlungskartenbranche zusammensetzt. Die teilnehmenden PCI SSC-Organisationen und Prüfer überprüften und gaben Feedback zu den Standards auf der Grundlage zahlreicher Requests for Comments (RFC) während des gesamten Entwicklungsprozesses.

Steve Lipner, Executive Director des Software Assurance Forum for Excellence in Code (SAFECode), nahm an der PCI Software Security Task Force teil und sagte: „Ich habe mich sehr darüber gefreut, die endgültige Version des PCI Secure Software Lifecycle Standards überprüfen zu dürfen. Das Dokument spiegelt eindeutig eine Anpassung der Best Practices für die Softwaresicherheit an die Bedürfnisse der Zahlungskartenindustrie und ihres Zertifizierungsprozesses wider und ist gut mit den Prinzipien von SAFECode und den Fundamental Practices for Secure Software Development von SAFECode abgestimmt. Ich habe mich besonders gefreut, dass der Schwerpunkt auf der Integration von Sicherheit in den Softwareentwicklungsprozess liegt und nicht auf dem Versuch, Sicherheit durch nachträgliche Tests zu gewährleisten.“

Der PCI Secure Software Standard, der PCI Secure SLC Standard, ein unterstützendes FAQ-Dokument sowie ein Glossar mit Begriffen, Abkürzungen und Akronymen stehen in der Document Library auf der PCI SSC-Website zum Download bereit.

Über den PCI Security Standards Council
Der PCI Security Standards Council (PCI SSC) ist die führende Organisation bei der Durchführung globaler, branchenübergreifender Bemühungen zur Erhöhung der Zahlungssicherheit durch die Bereitstellung branchenspezifischer, flexibler und effektiver Datensicherheitsstandards und -programme, die Unternehmen dabei unterstützen, Cyberangriffe und -verletzungen zu erkennen, zu mildern und zu verhindern. Bleiben Sie mit dem PCI SSC auf LinkedIn in Verbindung. Beteiligen Sie sich an der Diskussion auf Twitter unter: @PCISSC. Abonnieren Sie den PCI Perspectives Blog.

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.

Contacts

Mark Meissner
PCI Security Standards Council
+1-202-744-8557 (USA)
press@pcisecuritystandards.org
Twitter @PCISSC

Contacts

Mark Meissner
PCI Security Standards Council
+1-202-744-8557 (USA)
press@pcisecuritystandards.org
Twitter @PCISSC