1月17日，PCI安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC)發(fā)布了現(xiàn)代支付軟件安全設(shè)計(jì)和開發(fā)的新要求。PCI安全軟件標(biāo)準(zhǔn)和PCI安全生命周期(Secure SLC)標(biāo)準(zhǔn)是新的PCI軟件安全框架的一部分，新框架包括針對(duì)軟件供應(yīng)商及其軟件產(chǎn)品的驗(yàn)證計(jì)劃以及針對(duì)評(píng)估人員的資格認(rèn)證計(jì)劃。這些計(jì)劃將于2019年晚些時(shí)候推出。

PCI SSC首席技術(shù)官Troy Leach表示：“支付創(chuàng)新正在以令人難以置信的速度發(fā)展。每一次進(jìn)步都為行業(yè)提供了比以前更快、更高效地開發(fā)應(yīng)用程序，并為支付驗(yàn)收新平臺(tái)進(jìn)行軟件設(shè)計(jì)的機(jī)會(huì)。新的PCI安全軟件標(biāo)準(zhǔn)和PCI Secure SLC標(biāo)準(zhǔn)同樣符合軟件實(shí)踐的這種演進(jìn)，讓開發(fā)人員能夠以動(dòng)態(tài)的方式展示他們的軟件對(duì)下一代應(yīng)用程序的支付數(shù)據(jù)所提供的保護(hù)?！?/p>

PCI軟件安全標(biāo)準(zhǔn)超出了傳統(tǒng)支付軟件的支付應(yīng)用程序數(shù)據(jù)安全標(biāo)準(zhǔn)(PA-DSS)的范圍，以解決現(xiàn)代支付軟件的整體安全彈性問題。特別是：

PCI安全軟件標(biāo)準(zhǔn)指出了安全要求和評(píng)估程序的要點(diǎn)，以幫助確保支付軟件能夠充分保護(hù)支付交易和數(shù)據(jù)的完整性和機(jī)密性。

PCI Secure SLC標(biāo)準(zhǔn)指出了安全要求和評(píng)估程序的要點(diǎn)，讓軟件供應(yīng)商可以驗(yàn)證他們?nèi)绾卧谡麄€(gè)軟件生命周期內(nèi)正確管理支付軟件的安全性。

這些標(biāo)準(zhǔn)將取代PA-DSS，并在2022年P(guān)A-DSS被廢除時(shí)生效。與此同時(shí)，對(duì)于擁有PA-DSS投資的組織將有一個(gè)漸進(jìn)的過渡期。有關(guān)新標(biāo)準(zhǔn)和PA-DSS過渡期的更多信息，請(qǐng)閱讀PCI Perspectives博客文章最新發(fā)布：PCI軟件安全新標(biāo)準(zhǔn)。

PCI軟件安全標(biāo)準(zhǔn)是在一個(gè)由支付卡行業(yè)參與者組成的專門工作組的協(xié)助下開發(fā)的。PCI SSC參與組織和評(píng)估人員也在整個(gè)開發(fā)過程中通過多次請(qǐng)求評(píng)議(RFC)對(duì)標(biāo)準(zhǔn)進(jìn)行了審查并提供了相關(guān)反饋。

卓越代碼軟件保證論壇(SAFECode)執(zhí)行董事Steve Lipner參加了PCI軟件安全工作組，他表示：“我很高興參與PCI安全軟件生命周期標(biāo)準(zhǔn)最終版本的審查。該文件清楚地反映了為適應(yīng)支付卡行業(yè)的需求及其認(rèn)證過程而采納的軟件安全最佳實(shí)踐，并且與SAFECode的原則和SAFECode安全軟件開發(fā)基礎(chǔ)實(shí)踐的概念完全一致。我特別高興地看到該標(biāo)準(zhǔn)強(qiáng)調(diào)將安全性集成到軟件開發(fā)過程中，而不是試圖通過事后測試來保證安全?！?/p>

PCI安全軟件標(biāo)準(zhǔn)、PCI Secure SLC標(biāo)準(zhǔn)、支持性FAQ文檔以及術(shù)語、縮略語和首字母縮略詞表可在PCI SSC網(wǎng)站的文檔庫下載。