支付卡行业安全标准委员会(“PCI SSC”)于2022年12月7日宣布,已发布PCI安全软件标准1.2版及其支持文件。
PCI安全软件标准是PCI软件安全框架(SSF)的两个标准之一。PCI安全软件标准及其安全要求有助于确保支付软件的设计、开发和维护方式能够保护支付交易和数据、最大限度地减少漏洞并抵御攻击。
PCI SSC指出,PCI安全软件标准1.2版引入了Web软件模块,这是一组补充安全要求,以解决与使用互联网可访问支付技术相关的最常见安全问题。PCI安全标准委员会高级副总裁标准官Emma Sutcliffe表示:“PCI安全软件标准旨在为我们测试支付软件的安全性和完整性提供更灵活的方法。”。“引入Web软件模块是为了帮助软件供应商和开发人员识别和实施适当的软件安全控制,以防止常见的Web软件攻击。”
更具体地说,PCI SSC解释说,web软件模块中包括四个高级需求领域,即:
- 记录和跟踪支付软件中开源和第三方软件组件以及应用编程接口(API)的使用情况;
- 控制对支付软件web API和其他关键资产的访问;
- 减轻常见的网络攻击;
- 保护基于web的支付软件组件之间的通信。
PCI安全标准委员会解决方案标准副总裁Andrew Jamieson表示:“作为安全软件标准1.2版的一部分,新的Web软件模块的推出标志着我们启动软件安全框架的初步努力的结束。”。“SSF开发的下一阶段将侧重于提供更多指导、增强现有需求,以及解决新的和不断发展的支付技术、威胁和攻击技术。”