CIBERSEGURIDAD

Comprender los estándares de cumplimiento de PCI SSF y sus beneficios

0 82 3 minutos de lectura


El PCI Security Standards Council (PCI SSC) lanzó un nuevo marco conocido como PCI Software Security Framework (SSF) para proteger el software de pago moderno. El nuevo marco es una colección de estándares y programas que se crearon para asegurar el diseño y desarrollo de software de pago. Con la introducción de SSF, el estándar existente – PA DSS (Estándar de seguridad de datos de aplicaciones de pago) pronto desaparecerá. Esto simplemente significa que SSF reemplaza a las PA-DSS con requisitos modernos que admiten una amplia gama de tipos de software de pago, tecnologías y metodologías de desarrollo. Es un nuevo enfoque que admite tanto el software de pago existente como el futuro y funciona como una extensión de los límites de las PA-DSS para abordar la resistencia general de la seguridad del software.

Los estándares PCI SSF

El marco de seguridad de software de PCI se basa en dos estándares, a saber, el estándar de software seguro y el estándar de ciclo de vida del software seguro.

Estándar de software seguro

La validación del software de pago según el estándar de software seguro (S3) asegura que el software de pago diseñado normalmente protege la integridad del software y la confidencialidad de los datos confidenciales que captura, almacena, procesa y transmite. La aplicabilidad de esta norma normalmente incluye:

  • Los productos de software que participan o apoyan o facilitan directamente las transacciones de pago que almacenan, procesan o transmiten datos.
  • Productos de software desarrollados por el proveedor que se venden comercialmente a varias organizaciones.

Estándar de ciclo de vida de software seguro

La validación del software de pago según el estándar de ciclo de vida de software seguro garantiza que los procesos, procedimientos y prácticas del ciclo de vida de desarrollo de software del proveedor cumplan con el estándar PCI Secure SLC. La aplicabilidad de esta norma incluye:

  • Todos los proveedores que desarrollan software de pago.

Propósito de introducir el marco de seguridad de software de PCI en reemplazo de PA DSS

PCI Software Security Framework es una combinación de requisitos de seguridad de software tradicionales y modernos. El marco más reciente admite tecnologías en evolución, tipos de software y metodologías de desarrollo. El nuevo marco PCI SSF fue diseñado e implementado con el objetivo de promover prácticas de seguridad altamente orientadas a objetivos que respalden tanto los métodos tradicionales de buena seguridad de aplicaciones como las últimas prácticas de desarrollo. Es un marco introducido para garantizar que los proveedores puedan beneficiarse de lo mejor de ambos mundos e implementar medidas que protejan mejor los sistemas.

Transición de PA DSS a PCI SSF

Para una transición sin problemas de PA DSS a PCI SSF, el PCI Council seguirá respaldando las aplicaciones validadas por PA DSS hasta finales de octubre de 2022. Han declarado claramente que las aplicaciones validadas según las PA-DSS permanecerán en la «Lista de aplicaciones de pago validadas ”Hasta su fecha de caducidad con la garantía de no tener ningún impacto en los usuarios. Además, para fines de octubre de 2022, PCI Software Security Framework reemplazará a PA DSS y sus listados. Entonces, con esta transición, la aplicación de pago se validará con PCI SSF después del retiro de PA DSS en 2022. El nuevo marco brinda flexibilidad a todos los proveedores de software y facilita una mejor alineación del desarrollo de aplicaciones seguras, según el estándar de la industria.

Beneficios del cumplimiento de PCI SSF

El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago desarrolló el nuevo marco SSF para brindar flexibilidad a los proveedores de software y alinear el desarrollo de software de pago con los mejores estándares de seguridad de la industria. A diferencia de las PA-DSS, la SSF apoyará múltiples esfuerzos e iniciativas de seguridad que se centran en el diseño y el desarrollo seguros. Así es como el cumplimiento de PCI SSF beneficiará a los clientes, proveedores y comerciantes en general:

  • SSF Compliance facilita una arquitectura y un enfoque de evaluación modular, lo que crea más flexibilidad.
  • Adherirse al marco de seguridad de software de PCI ayudará a reducir el riesgo asociado con sanciones y complicaciones por violación de datos.
  • El cumplimiento garantiza que existan mecanismos de protección y seguridad adecuados para proteger el entorno de datos de la tarjeta.
  • Garantizará la protección de los activos críticos y fortalecerá aún más la implementación de controles de acceso.
  • Es una garantía de que las organizaciones están cumpliendo con sus obligaciones legales.
  • Brinda a los clientes la confianza que la organización ha puesto en sus esfuerzos para proteger el medio ambiente y proteger sus datos.
  • El cumplimiento de SSF significa haber implementado un proceso de gestión de riesgos y tener planes de continuidad del negocio establecidos
  • El cumplimiento del marco SSF garantiza la protección contra las amenazas de seguridad emergentes y la adaptación a cualquier cambio en los estándares regulatorios aplicables.

Pensamientos finales

Si bien la transición de PA DSS a PCI SSF puede parecer un desafío, en realidad, no hará una diferencia ni afectará sus esfuerzos de cumplimiento. De hecho, PCI SSF proporciona flexibilidad adicional para que los desarrolladores de software incorporen la seguridad de las aplicaciones de pago según las prácticas actuales aceptadas por la industria. Además, como se mencionó anteriormente, para que sea una transición sin problemas para las partes interesadas, los programas PA-DSS y SSF se ejecutarán en paralelo con el programa PA-DSS que continuará funcionando como lo hace hasta la fecha de vencimiento. Habiendo dicho eso, personalmente sentimos que la decisión de introducir un nuevo marco es para el bien de la sociedad y el beneficio de los clientes y proveedores. Por lo tanto, la introducción de PCI SSF no debe tomarse de otra manera y todas las partes interesadas deben tomarla de manera positiva.

Contribuido por Narendra Sahoo, Director, VISTA InfoSec

Publicaciones relacionadas

Los sitios falsos de NatWest y Halifax recibieron certificados de seguridad genuinos

Nuevo informe destaca la creciente popularidad de las compras móviles.

Google agrega una lista de nuevos socios a BeyondCorp Alliance

Onapsis lanza el programa de socios de Onapsis nCase

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar