1月17日，PCI安全標準委員會(PCI SSC)發(fā)布了現(xiàn)代支付軟件安全設(shè)計和開發(fā)的新要求。PCI安全軟件標準和PCI安全生命周期(Secure SLC)標準是新的PCI軟件安全框架的一部分，新框架包括針對軟件供應(yīng)商及其軟件產(chǎn)品的驗證計劃以及針對評估人員的資格認證計劃。這些計劃將于2019年晚些時候推出。

PCI SSC首席技術(shù)官Troy Leach表示：“支付創(chuàng)新正在以令人難以置信的速度發(fā)展。每一次進步都為行業(yè)提供了比以前更快、更高效地開發(fā)應(yīng)用程序，并為支付驗收新平臺進行軟件設(shè)計的機會。新的PCI安全軟件標準和PCI Secure SLC標準同樣符合軟件實踐的這種演進，讓開發(fā)人員能夠以動態(tài)的方式展示他們的軟件對下一代應(yīng)用程序的支付數(shù)據(jù)所提供的保護?！?/p>

PCI軟件安全標準超出了傳統(tǒng)支付軟件的支付應(yīng)用程序數(shù)據(jù)安全標準(PA-DSS)的范圍，以解決現(xiàn)代支付軟件的整體安全彈性問題。特別是：

PCI安全軟件標準指出了安全要求和評估程序的要點，以幫助確保支付軟件能夠充分保護支付交易和數(shù)據(jù)的完整性和機密性。

PCI Secure SLC標準指出了安全要求和評估程序的要點，讓軟件供應(yīng)商可以驗證他們?nèi)绾卧谡麄€軟件生命周期內(nèi)正確管理支付軟件的安全性。

這些標準將取代PA-DSS，并在2022年P(guān)A-DSS被廢除時生效。與此同時，對于擁有PA-DSS投資的組織將有一個漸進的過渡期。有關(guān)新標準和PA-DSS過渡期的更多信息，請閱讀PCI Perspectives博客文章最新發(fā)布：PCI軟件安全新標準。

PCI軟件安全標準是在一個由支付卡行業(yè)參與者組成的專門工作組的協(xié)助下開發(fā)的。PCI SSC參與組織和評估人員也在整個開發(fā)過程中通過多次請求評議(RFC)對標準進行了審查并提供了相關(guān)反饋。

卓越代碼軟件保證論壇(SAFECode)執(zhí)行董事Steve Lipner參加了PCI軟件安全工作組，他表示：“我很高興參與PCI安全軟件生命周期標準最終版本的審查。該文件清楚地反映了為適應(yīng)支付卡行業(yè)的需求及其認證過程而采納的軟件安全最佳實踐，并且與SAFECode的原則和SAFECode安全軟件開發(fā)基礎(chǔ)實踐的概念完全一致。我特別高興地看到該標準強調(diào)將安全性集成到軟件開發(fā)過程中，而不是試圖通過事后測試來保證安全?！?/p>

PCI安全軟件標準、PCI Secure SLC標準、支持性FAQ文檔以及術(shù)語、縮略語和首字母縮略詞表可在PCI SSC網(wǎng)站的文檔庫下載。