Software Security Framework: Update auf Version 1.2 mit neuem Web Software Modul 

14. Dezember 2022

Das PCI Security Standards Council (PCI SSC) hat am 7.12.2022 Version 1.2 des PCI Secure Software Standards und die dazugehörige Programmdokumentation veröffentlicht. Zusammen mit dem PCI Secure Software Lifecycle (Secure SLC) Standard bildet der PCI Secure Software Standard das PCI Software Security Framework (SSF). In Version 1.2 des Secure Software Standard wurden kleinere Anpassungen zur Beseitigung von Unstimmigkeiten, Verdeutlichung seiner Zielsetzung und Vereinheitlichung der Sprache vorgenommen. Einige Test-Requirements wurden aktualisiert, konsolidiert oder entfernt. Die wichtigste Änderung in Version 1.2 ist jedoch die Einführung des neuen Web Software Modul. 

Neues Modul: Web Software 

Das Modul umfasst ergänzend zu den Kernanforderungen des Secure Software Standards eine Reihe von Sicherheitsanforderungen für Zahlungssoftware, die Internettechnologien, -protokolle und -sprachen zur Unterstützung oder Erleichterung elektronischer Zahlungstransaktionen nutzt.  

Das Web Software Modul umfasst vier übergeordnete Anforderungsbereiche: 

  • Dokumentation und Überwachung verwendeter Open-Source- und Drittanbieter-Softwarekomponenten und APIs in Zahlungssoftware 
  • Kontrolle des Zugriffs auf die Web-APIs der Zahlungssoftware und andere kritischer Ressourcen 
  • Schutz gegenüber gängigen Angriffen auf webbasierte Software   
  • Schutz der Kommunikation zwischen webbasierten Zahlungssoftware-Komponenten  

Aktualisierungen des Secure Software Report on Validation (RoV) und der Attestation of Validation (AoV) im Zusammenhang mit dem v1.2 Release werden voraussichtlich im ersten Quartal 2023 veröffentlicht. 

Auswirkungen auf bereits validierte und gelistete Zahlungssoftware 

Eine Zahlungssoftware, die bereits erfolgreich zertifiziert wurde und in der „List of Validated Payment Software“ des PCI SSC aufgeführt ist, ist von der Veröffentlichung des neuen Web-Software-Moduls nicht betroffen, bis das aktuelle Listing ausläuft. Zu diesem Zeitpunkt muss die Zahlungssoftware gemäß der dann aktuellen Version des Secure Software Standards und aller anwendbaren Module neu geprüft werden, um weiterhin als validierte Zahlungssoftware gelistet zu werden. Dies gilt auch für webbasierte Zahlungssoftware, die beispielsweise vor der Veröffentlichung des Web Software Moduls validiert und gelistet wurde, für die aber nun die Anforderungen des Web Software Moduls gelten. 

Auswirkungen auf den Secure SLC 

Mit dieser Version wurden keine Änderungen am PCI Secure Software Lifecycle (Secure SLC) Standard oder seiner unterstützenden Dokumentation vorgenommen. Die aktuelle Version des Secure SLC bleibt v1.1. 


Sie haben Fragen zum Secure Software Standard oder benötigen Unterstützung beim Übergang? Kontaktieren Sie uns, wir helfen Ihnen gern. 

Auch interessant:

PCI DSS v4.0: INFI Worksheet eingestellt

PCI DSS v4.0: INFI Worksheet eingestellt

Das Payment Card Industry Security Standards Council (PCI SSC) hat die Einstellung des Worksheets "Items Noted for Improvement" (INFI) verkündet. INFI, eine Vorlage zur Dokumentation von verbesserungswürdigen Bereichen, war mit PCI DSS v4.0 eingeführt worden. Ab...

mehr lesen

Kategorien

Kategorien