Llegan los nuevos estándares para el software de pagos
- Actualidad
PCI SSC, el Payment Card Industry Security Standards Council, ha anunciado nuevos estándares de seguridad para el diseño, desarrollo y mantenimiento del software de pagos.
PCI SSC (Payment Card Industry Security Standards Council) ha publicado el PCI Secure Software Standard, el estándar de software seguro para la industria de tarjetas de pago, y el PCI Secure Lifecycle (Secure SLC) Standard, el estándar de ciclo de vida segura de para la industria de tarjetas de pago, como parte de un nuevo PCI Software Security Framework. Este marco de trabajo es un conjunto de estándares de seguridad de software y programas asociados para el diseño, desarrollo y mantenimiento seguro de un software de pagos moderno que tiene en cuenta no sólo nuevas arquitecturas de software, sino nuevo métodos de desarrollo, como DevOps y la entrega continua. El nuevo estándar podría reemplazar el PCI Payment Application Data Security Standard (PA-DSS).
PCI Secure Software Standard recoge y resumen los requisitos de seguridad, así como los procedimientos de evaluación para garantizar que el software de pago proteja adecuadamente las transacciones y los datos. El estándar se centra en configuraciones seguras por defecto, la identificación de activos críticos, la protección de datos confidenciales, el control de acceso y autenticación, la detección de ataques y una guía de seguridad para los proveedores.
“Este estándar en similar al Payment Application Data Security Standard (PA-DSS) de muchas maneras”, ha dicho Troy Leach, CTO de PCI SSC, en un comunicado, añadiendo que “el objetivo de ambos estándares es tener una forma de demostrar la protección continua de los datos de pago por parte del software que almacena, procesa o transmite esa información, y que los proveedores de software tengan una manera de demostrar una evaluación de seguridad independiente del software para lograr ese objetivo”.
Explica el directivo que PA-DSS se centra en el desarrollo de software y los principios de gestión del ciclo de vida para la seguridad en el software de pago tradicional para ayudar a los comerciantes a mantener el cumplimiento de las normas PCI DSS, mientras que PCI Software Security Standards se extiende más allá, para abordar la capacidad de recuperación general de la seguridad del software, y que este marco proporciona una nueva metodología y un nuevo enfoque para validar la seguridad del software; “no se excluyen mutuamente, pero ofrecen un enfoque progresivo que permite alternativas adicionales para demostrar prácticas seguras de software”.