PCI SSF

Ihre Zertifizierung nach dem Software
Security Framework.

Anbieter von Zahlungssoftware können mit Zertifizierungen nach dem Software Security Framework (SSF) nachweisen, dass sowohl ihre Zahlungssoftware als auch ihre Entwicklungsprozesse umfassende und hohe Sicherheitsstandards zum Schutz von Zahlungsdaten erfüllen. Das SSF umfasst aktuell zwei separate Standards:

Der Secure Software Standard

betrifft in seiner aktuellen Fassung Zahlungsanwendungen, die Kreditkartendaten speichern, verarbeiten oder übermitteln. Weitere Ergänzungen, beispielsweise zugeschnitten auf spezifische Technologien, werden zukünftig hinzukommen.

Der Secure Software Lifecycle Standard (Secure SLC)

ist eine optionale Unternehmenszertifizierung, mit der Softwarehersteller nachweisen, dass sie umfassende Sicherheitsmaßnahmen in den kompletten Software-Lebenszyklus integriert haben.

Ihr Zertifizierungsprozess

Kick-off

Einführung ins Software Security Framework. Gemeinsam mit Ihnen besprechen wir, je nach angestrebter Zertifizierung, die Zertifizierungsrelevanz Ihrer Anwendungen bzw. Entwicklungsprozesse im Rahmen eines Scope Workshops. Eventuell direkt erkennbare Abweichungen zu den Vorgaben der Standards des SSF werden benannt.

Vorbereitung

Zur Vorbereitung auf die Zertifizierung prüfen wir die Einhaltung der Anforderungen der Standards des SSF mithilfe einer Gap-Analyse. Sie haben dadurch die Möglichkeit, vorhandene Abweichungen in der Software sowie in den relevanten Prozessen für Entwicklung, Test, Deployment und Support sowie der dazugehörigen Dokumentation frühzeitig zu erkennen und vor der offiziellen Zertifizierung zu korrigieren. Darüberhinaus bieten wir an, Ihre Anwendung oder Ihre Systeme durch einen Pentest auf technische Schwachstellen und Verwundbarkeiten zu prüfen. Unsere Expert*innen schulen Ihre Softwareentwickler und Verantwortlichen für Qualitätssicherung in sicherer Softwareentwicklung.

Zertifizierung

Das Onsite Assessment an sich ist der formelle Prozess, in dem akkreditierte Auditoren die im Scope befindlichen Prozesse und Applikationen Ihres Unternehmens auf Konformität mit den Vorgaben der Standards des SSF prüfen.

Die Ergebnisse des Onsite Assessments werden inklusive gegebenenfalls notwendiger Maßnahmenempfehlungen dokumentiert. Sie korrigieren anschließend vorhandene Abweichungen von den Standards des SSF. Im Anschluss werden Ihre Korrekturen durch eine selektive Nachprüfung (Re-Testing) geprüft und parallel der offizielle Assessmentbericht erstellt.

Nachdem Sie Ihre Freigabe erteilt haben, wird der Bericht zum Review an das PCI Council gesendet. Nach der Freigabe durch das PCI Council erhalten Sie ein von Ihrem Assessor ausgestelltes Zertifikat sowie ein Prüfsiegel, das Sie in Ihre Webseite einbinden können.

Audit nach PCI DSS v4.0

Compliance

Nach Ihrer erfolgreichen Zertifizierung unterstützen wir Sie beim fortlaufenden Erhalt Ihrer Compliance. Relevante Änderungen bei Ihnen oder Änderungen am Sicherheitsstandard selbst besprechen wir gemeinsam und diskutieren sich daraus ergebende Maßnahmen zur Erhaltung Ihrer Compliance.

Wie steigen Sie in das Thema ein?

SSF Scope Workshop

Am Anfang steht immer ein Scope Workshop, in dem Sie eine umfassende Einführung in das Thema erhalten. Der Workshop gibt Aufschluss über die relevanten Zertifizierungsbereiche und bildet die Basis für die Aufwandsschätzung des Angebots.

SSF Gap-Analyse

Wir empfehlen Ihnen, zusätzlich zum Scope Workshop eine SSF Gap-Analyse durchführen zu lassen, um Abweichungen von den Standards rechtzeitig erkennen zu können und noch vor dem Audit zu beheben.

Mehr Informationen zum PCI SSF

Unser englischsprachiges Webinar umfasste eine Einführung in das neue PCI Software Security Framework sowie ein grundlegendes Verständnis der jeweiligen Standards und der Änderungen und Möglichkeiten für betroffene Unternehmen.

Ausführliche Informationen und die Einschätzung eines unserer Experten zum Software Security Framework.

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Benedikt Krümmel
usd Technical Sales Consultant,
PCI Professional