Weiterer Anwendungsbereich für Secure Software Standard mit Version 1.1

Das PCI Security Standards Council (PCI SSC) veröffentlichte letzte Woche Version 1.1 des Secure Software Standards und des dazugehörigen Program Guides. Dieser Standard aus dem PCI Software Security Framework wird am 28. Oktober 2022 den bisherigen Standard für Zahlungsapplikationen, den PCI PA-DSS, vollständig ablösen. 

Der Secure Software Standard ist in seiner Struktur modular aufgebaut. Jedes Modul beinhaltet eine Zusammenstellung von Anforderungen, die bestimmte Anwendungsfälle adressieren. Dieses Konstrukt macht den Secure Software Standard wesentlich dynamischer und anpassungsfähiger für Updates und Änderungen in Hinblick auf künftige Entwicklungen in der Praxis. Bisher wurden vom PCI Council zwei Module veröffentlicht: Das „Core“-Modul mit allgemeinen Sicherheitsanforderungen für alle Zahlungsapplikationen und das Modul „Account Data Protection“, welches besondere Anforderungen für Zahlungsapplikationen beinhaltet, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichert, verarbeitet oder übermittelt.

Mit der neuen Version 1.1 wird nun das bereits angekündigte zusätzliche Modul „Terminal Software“ eingeführt. Dieses enthält eine Reihe von Anforderungen an Zahlungsapplikationen, die z.B. auf PCI-zugelassenen Kartenlesegeräten eingesetzt oder betrieben werden. Explizit davon ausgeschlossen ist die Firmware dieser Geräte. Applikationen, die für den Einsatz oder Betrieb auf anderen Plattformen vorgesehen sind, werden von diesem Modul ebenfalls nicht berührt.

Darüber hinaus bringt die überarbeitete Version lediglich Begriffsschärfungen und Fehlerkorrekturen mit sich.

---

Wie Ihnen der Übergang vom PA-DSS zum Secure Software Standard gelingt, haben wir hier für Sie beschrieben.

Sie haben Fragen zur Zertifizierung nach dem Secure Software Standard oder benötigen Unterstützung? Kontaktieren Sie uns, wir helfen Ihnen gerne!