PCI SSF

Ihre Zertifizierung nach dem Software Security Framework

Anbieter von Zahlungssoftware können mit Zertifizierungen nach dem Software Security Framework (SSF) nachweisen, dass sowohl ihre Zahlungssoftware als auch ihre Entwicklungsprozesse umfassende und hohe Sicherheitsstandards zum Schutz von Zahlungsdaten erfüllen. Das SSF umfasst aktuell zwei separate Standards:

Der Secure Software Standard

betrifft in seiner aktuellen Fassung Zahlungsanwendungen, die Kreditkartendaten speichern, verarbeiten oder übermitteln. Weitere Ergänzungen, beispielsweise zugeschnitten auf spezifische Technologien, werden zukünftig hinzukommen.

Der Secure Software Lifecycle Standard (Secure SLC)

ist eine optionale Unternehmenszertifizierung, mit der Softwarehersteller nachweisen, dass sie umfassende Sicherheitsmaßnahmen in den kompletten Software-Lebenszyklus integriert haben.

Ihr Zertifizierungsprozess

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Kick-off

Einführung ins Software Security Framework. Gemeinsam mit Ihnen besprechen wir, je nach angestrebter Zertifizierung, die Zertifizierungsrelevanz Ihrer Anwendungen bzw. Entwicklungsprozesse im Rahmen eines Scope Workshops. Eventuell direkt erkennbare Abweichungen zu den Vorgaben der Standards des SSF werden benannt.

Vorbereitung

Zur Vorbereitung auf die Zertifizierung prüfen wir die Einhaltung der Anforderungen der Standards des SSF mithilfe einer Gap-Analyse. Sie haben dadurch die Möglichkeit, vorhandene Abweichungen in der Software sowie in den relevanten Prozessen für Entwicklung, Test, Deployment und Support sowie der dazugehörigen Dokumentation frühzeitig zu erkennen und vor der offiziellen Zertifizierung zu korrigieren.

Darüberhinaus bieten wir an, Ihre Anwendung oder Ihre Systeme durch einen Pentest auf technische Schwachstellen und Verwundbarkeiten zu prüfen.

 

Unsere Experten schulen Ihre Softwareentwickler und Verantwortlichen für Qualitätssicherung in sicherer Softwareentwicklung.
Zertifizierung

Das Onsite Assessment an sich ist der formelle Prozess, in dem akkreditierte Auditoren die im Scope befindlichen Prozesse und Applikationen Ihres Unternehmens auf Konformität mit den Vorgaben der Standards des SSF prüfen.

Die Ergebnisse des Onsite Assessments werden inklusive gegebenenfalls notwendiger Maßnahmenempfehlungen dokumentiert. Sie korrigieren anschließend vorhandene Abweichungen von den Standards des SSF. Im Anschluss werden Ihre Korrekturen durch eine selektive Nachprüfung (Re-Testing) geprüft und parallel der offizielle Assessmentbericht erstellt.

Nachdem Sie Ihre Freigabe erteilt haben, wird der Bericht zum Review an das PCI Council gesendet. Nach der Freigabe durch das PCI Council erhalten Sie ein von Ihrem Assessor ausgestelltes Zertifikat sowie ein Prüfsiegel, das Sie in Ihre Webseite einbinden können.

Compliance

Nach Ihrer erfolgreichen Zertifizierung unterstützen wir Sie beim fortlaufenden Erhalt Ihrer Compliance. Relevante Änderungen bei Ihnen oder Änderungen am Sicherheitsstandard selbst besprechen wir gemeinsam und diskutieren sich daraus ergebende Maßnahmen zur Erhaltung Ihrer Compliance.

Wie steigen Sie in das Thema ein?

SSF Scope Workshop

Am Anfang steht immer ein Scope Workshop, in dem Sie eine umfassende Einführung in das Thema erhalten. Der Workshop gibt Aufschluss über die relevanten Zertifizierungsbereiche und bildet die Basis für die Aufwandsschätzung des Angebots.

SSF Gap-Analyse

Wir empfehlen Ihnen, zusätzlich zum Scope Workshop eine SSF Gap-Analyse durchführen zu lassen, um Abweichungen von den Standards rechtzeitig erkennen zu können und noch vor dem Audit zu beheben.

Ihr Übergang von PA-DSS zum SSF

news interview software security framework

Lesen Sie hier ausführliche Informationen und die Einschätzung eines unserer Experten zum neuen Software Security Framework.

Das SSF wird den Payment Application Data Security Standard (PA-DSS), den bis dato geltenden Sicherheitsstandard für Zahlungssoftware des PCI Security Standards Councils, in den nächsten Jahren vollständig ablösen.

Unsere Experten erklären Ihnen ausführlich, welche Neuerungen durch die Zertifizierung nach dem SSF auf Sie zukommen. Wir helfen Ihnen gerne durch eine reibungslose Übergangssphase vom PA-DSS zum SSF.

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: ­ +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Anna-Magdalena Kohl
usd Team Lead Sales,
PCI Professional