Ein Schritt in Richtung mehr Sicherheit: Die Einschätzung unseres Experten zum PCI Software Security Framework

usd AG News, PCI Security Services

Das PCI Security Standards Council kündigte im Januar 2019 erstmalig die Einführung des neuen Software Security Frameworks (SSF) an, welches aktuell zwei neue Standards umfasst: Den Secure Software Lifecycle Standard (Secure SLC) sowie den Secure Software Standard.

Anbieter von Zahlungssoftware können mit den entsprechenden Zertifizierungen nachweisen, dass sowohl ihre Zahlungssoftware als auch ihre Entwicklungsprozesse umfassende und hohe Sicherheitsstandards zum Schutz von Zahlungsdaten erfüllen. Das SSF soll den Payment Application Data Security Standard (PA-DSS), den bis dato geltenden Sicherheitsstandard für Zahlungssoftware des PCI Security Standards Councils, in den nächsten Jahren vollständig ablösen.

Der Secure Software Standard besteht aus Kernanforderungen, die durch spezifische Anforderungen in Form von Modulen ergänzt werden. Zum jetzigen Zeitpunkt existiert lediglich das Modul A, welches bei Zahlungsapplikationen Anwendung findet, die Kreditkartendaten speichern, verarbeiten oder übermitteln. Weitere Module, beispielsweise zugeschnitten auf spezifische Technologien, werden zukünftig hinzukommen.  

Der Secure SLC wiederum ist eine optionale Unternehmenszertifizierung, mit der Softwarehersteller nachweisen, dass sie umfassende Sicherheitsmaßnahmen in den kompletten Software-Lebenszyklus integriert haben. Das hat den Vorteil, dass Sicherheitsmaßnahmen nicht nur bei der Implementierung der Software beachtet werden, sondern bereits bei der Planung und allen weiteren Phasen wie der Veröffentlichung/Auslieferung und anschließenden Wartung.

Da es sich um zwei unabhängige Zertifizierungen handelt, wird das PCI SSC auf seiner Webseite auch separate Listen von jeweils validierter Zahlungssoftware nach dem Secure Software Standard und Secure SLC-qualifizierten Anbietern führen. Zur Durchführung der Zertifizierungen ist jeweils die Akkreditierung als Secure Software Assessor als auch Secure Software Lifecycle Assessor erforderlich.

PCI Software Security Framework
Eigene Darstellung basierend auf Darstellung des PCI Security Standards Council
(Quelle: https://www.pcisecuritystandards.org/documents/SSF_At-a-Glance.pdf?agreement=true&time=1580379095659)

Torsten Schlotmann, Managing Consultant PCI Security Services, zertifiziert Unternehmen bereits seit vielen Jahren als akkreditierter Assessor nach dem PCI DSS und dem PA-DSS und verfolgt die Entwicklung des SSF von Beginn an. Wir haben ihm einige Fragen gestellt.

Torsten, warum sieht das PCI Security Standards Council die Notwendigkeit, den PA-DSS durch neue Datensicherheitsstandards abzulösen?

Torsten Schlotmann: Die IT-Branche ist durch technische Innovationen, wie zum Beispiel neue Zahlungstechnologien, stetig in Bewegung. Der bis dato genutzte Standard PA-DSS wird dem technischen Wandel, den Methoden und der aktuellen Praxis in der Branche nicht mehr in allen Aspekten gerecht.

Inwiefern wird das SSF diesen Entwicklungen besser gerecht?

TS: Die beiden Standards des SSF verfolgen im Gegensatz zum PA-DSS grundsätzlich einen ergebnisorientierten Ansatz, bei dem nicht die Art und Weise, sondern die Wirkung einer Sicherheitsmaßnahme im Vordergrund steht. Hierdurch werden Softwareherstellern anstelle einer Einheitslösung flexible, auf sie zugeschnittene Möglichkeiten eröffnet, Sicherheitsmaßnahmen umzusetzen und nachzuweisen. 

Ist ein Unternehmen beispielsweise nach dem Secure SLC zertifiziert, so kann es bestimmte Änderungen an bereits validierter Zahlungssoftware durch qualifizierte, eigene Mitarbeiter auf Konformität mit dem Software Security Standard prüfen lassen. Beim PA-DSS muss im Vergleich dazu auch bei kleinen Änderungen an einer validierten Software ein externer, akkreditierter Assessor hinzugezogen werden, sofern diese Änderungen bspw. Einfluss auf die Sicherheit von Kreditkartendaten haben. Somit werden mit dem Secure SLC insbesondere agile Software-Entwicklungsprozesse unterstützt.

Nach dem Secure Software Standard kann außerdem eine weitaus größere Bandbreite an Zahlungssoftware zertifiziert werden. Nach dem PA-DSS werden ausschließlich Applikationen zertifiziert, die in Settlement- oder Autorisierungsprozessen Kreditkartendaten speichern, verarbeiten oder übermitteln. Nach dem SSF wiederum können zusätzlich Softwareprodukte zertifiziert werden, die auch außerhalb des Settlement- oder Autorisierungsprozesses am Zahlungsvorgang beteiligt sind oder diesen unterstützen oder erleichtern, wie z.B. Clearing-Applikationen.

Sind die Aufwände der Zertifizierung nach SSF höher als nach PA-DSS?

TS: Das Framework bringt mehr Anforderungen in einer detaillierteren und größeren Testtiefe mit sich. Wir erwarten aber, dass die Aufwände sich stellenweise verlagern. So lag im PA-DSS der Fokus primär auf der Sicherheit von Kreditkartendaten. Dies ändert sich mit dem SSF, welches ein umfangreiches Scoping voraussetzt. Ziel ist die Identifikation von schützenswerten und kritischen Assets, die nicht nur auf Kreditkartendaten beschränkt sind. Anschließend müssen entsprechende Schutzziele (Control Objectives) für die jeweils identifizierten Assets geprüft werden. Betrachtet man nur das, klingt es erst einmal nach nur mehr Aufwand. Aber das SSF bietet Softwareherstellern auch ganz neue Möglichkeiten, massiv Aufwand einzusparen. Nach dem Secure SLC zertifizierte Unternehmen müssen beispielsweise viel seltener auf externe Assessoren zurückgreifen.

Was kommt auf Unternehmen zu, die sich künftig nach dem SSF zertifizieren lassen wollen?

TS: Die Umstellung auf einen neuen Standard ist zunächst immer mit Aufwand für die betroffenen Unternehmen verbunden. Sie müssen im Vorfeld die neuen Vorgaben sichten und entsprechend sicherstellen, dass sie in ihren Maßnahmen und Prozessen konform mit den neuen Standards arbeiten. Der PCI Council hat dafür eine Übergangsphase vorgesehen, sodass noch bis Juni 2021 neue Applikationen nach PA-DSS zertifiziert werden können und sogar bis Oktober 2022 Änderungen an bereits zertifizierten Anwendungen möglich sind. Es werden parallel dazu bereits die ersten Zertifizierungen nach SSF im Laufe dieses Jahres erwartet.

Wir raten unseren Kunden, sich bereits vor Einstellung des PA-DSS intensiv mit dem neuen Framework zu beschäftigen und notwendige Änderungen so früh wie möglich anzugehen. Dabei unterstützen wir sie sehr gerne. Da wir wissen, dass die Anforderungen des SSF für jedes Unternehmen individuell sehr unterschiedlich anzuwenden sind, bieten wir spezifische Beratungs- und Analyseleistungen zur Vorbereitung an und führen selbstverständlich auch die eigentliche Zertifizierung durch.

Meine Kollegen und ich verfolgen den Standard von Beginn an. Die Ablösung des PA-DSS durch das SSF ist unserer Einschätzung nach ein guter Schritt in Richtung mehr Sicherheit.

Software Security Framework
Eigene Darstellung, basierend auf Darstellung des PCI Security Standards Council
(Quelle: https://blog.pcisecuritystandards.org/new-software-security-framework-programs-timeline-and-key-milestones)

Sie haben Fragen zum Software Security Framework oder benötigen Unterstützung? Kontaktieren Sie uns, wir helfen Ihnen gerne!