You are here:

Audyt PCI SSF

PCI Software Security Framework (SSF) to zbiór dwóch różnych i niezależnych standardów, które zostały opracowane w celu zabezpieczenia projektowania i tworzenia oprogramowania płatniczego.

PCI SSF składa się obecnie z dwóch oddzielnych standardów:

  • The Secure Software Lifecycle Program (SSL)

  • The Secure Software Standard (SSS or 3S)

Standard  PCI Secure Software  stosuje się do rozwiązań/aplikacji  zaangażowanych w/ lub bezpośrednio wspierających lub ułatwiających transakcje płatnicze przechowujące, przetwarzające lub przekazujące  dane kartowe  typu "clear-text",  które są sprzedawane, rozprowadzane lub licencjonowane osobom trzecim.


SC2labs świadczy usługi walidacji PCI SSF oraz PCI SSS, jako wykwalifikowany

Audytor PCI SSA i PCI SLCA certyfikowany przez PCI SSC

Standard Secure Software stosuje się do rozwiazań/aplikacji zaangażowanych w transakcje płatnicze lub bezpośrednio je wspierających lub ułatwiające, które są sprzedawane, rozpowszechniane lub licencjonowane osobom trzecim i które przechowują, przetwarzają lub przekazują  dane kartowe  w postaci jawnej.

Wymagania  Software Core :
 - stosowane do wszystkich rozwiązań certyfikowanych w standardzie  Secure Software.

Moduł A:
- dotyczy oprogramowania, które przetwarza jawne dane posiadacza karty.

Moduł B:
- zaprojektowany i obowiązujący dla oprogramowania działającego na terminalach płatniczych z certyfikatem PCI-PTS.

Moduł C:
-dotyczy oprogramowania z interfejsami internetowymi.


Standard Secure Software (SSS) oraz standard  Secure Software Lifecycle (SLC) to trzyletnie programy, które skupiają się na różnych aspektach walidacji bezpieczeństwa oprogramowania.

Walidacja jest przeprowadzana przez akredytowanego audytora - PCI Secure Software Assessor w przypadku standardu PCI SSS oraz audytora Secure SLC Assessor przy standardzie PCI SLC.

Pozytywny wynik walidacji skutkuje zamieszczeniem informacji na dedykowanej liście na stronie PCI SSC.

Organizacja posiadające certyfikacje w zakresie PCI SLC oraz PCI SSC mogą samodzielnie, bez udziału asesora aktualizować i walidować wprowadzenie  zmian określanych jako "low impact" wysyłając dokumentacje do PCI SSC. Jeśli podmiot posiada tylko certyfikację PCI SSC każda aktualizacja i zmiana wymaga zaangażowania audytora. 

Spotkanie otwierające
Po podpisaniu Umowy współpracę rozpoczynamy spotkaniem otwierającym. Omówimy proces certyfikacji, określimy osoby  kontaktowe z obydwu organizacji, zdefiniujemy ramy czasowe projektu i zaplanujemy kolejne kroki. Audytor przekaże również specjalnie przygotowane materiały, które pomogę zespołowi projektowemu odpowiednio przygotować się do audytu.

Faza przygotowawcza 
W tym etapie proponujemy indywidualne podejście uzależnione od Państwa potrzeb, które  może obejmować:
- SSF szkolenie/workshop  - nasi dedykowani do projektu audytorzy SSF przeprowadzą szkolenie i wyjaśnią wszystkie wymagania standardu SSF, co prowadzi do lepszego zrozumienia procesu i właściwego przygotowania do walidacji formalnej
- analiza zakresu/ SSF scoping – jeden z kluczowych  elementów procesu, który pomoże zminimalizować i określić dokładny zakres audytu
-  Ocena wstępna (Pre-assessment) lub pełny GAP Assessment. Podczas oceny wstępnej audytor ogólnie przygląda się środowisku i przegląda dokumentację w celu zidentyfikowania ewentualnych braków. Analiza GAP jest bardziej szczegółowym procesem, w którym przeprowadzamy ocenę aktualnej sytuacji w kontrolach bezpieczeństwa, systemach, dokumentacji i środowisku w odniesieniu do wszystkich wymogów zgodności z PCI SSF. Podsumowanie GAP zawiera wszelkie zidentyfikowane rozbieżności oraz niezbędne zalecenia dotyczące działań
- Wsparcie podczas procesu wdrażania zmian - zapewniamy wsparcie i doradzamy w trakcie naprawy i  implementowania koniecznych poprawek i zmian

Formalna walidacja 
Audyt on-site jest formalnym procesem, w którym akredytowani audytorzy sprawdzają procesy i tworzone w organizacji aplikacje płatnicze w zakresie zgodności z wymaganiami odpowiedniego standardu  SSF. Przeprowadzona zostanie wnikliwa analiza bezpieczeństwa badanego rozwiązania - w tym wywiady z zespołem projektowym oraz wyznaczonymi pracownikami, zgodność z dokumentacją, procedury  bezpieczeństwa,  wnikliwa ocena bezpieczeństwa badanego rozwiązania. Udokumentowane zostaną wykonane testy i wyniki prowadzonej walidacji.

Opracowanie dokumentacji 
Formalna dokumentacja - w tym Raport zostanie przekazana w terminie do 3 tygodni od momentu  zakończenia projektu (otrzymania  przez audytora wszystkich wymaganych danych/dokumentów/informacji). Podczas tej fazy projektu powinien również zostać podpisany Vendor Agreement pomiędzy Państwa organizacją a Radą Standardu PCI SS, jak również należy uiścić opłatę wpisową zgodnie z wystawioną bezpośrednio przez PCI fakturą. Następnie, zgodnie z procedurami  raport jest wysyłany do Rady Standardu. Po pozytywnym zatwierdzeniu dokumentacji odpowiedni wpis o Państwa certyfikacji zostanie zamieszczony na dedykowanej liście publikowanej na stronie internetowej  PCI SSC.

Dokumentacja obejmuje:

Standard SLC Standard SSA
Report on Compliance (RoC) 
Report on Validation (RoV)
Attestation of Compliance (AoC) 
Attestation of Validation (AoV)
Certificate of Compliance Certificate of Compliance

Wsparcie po zakończeniu projektu
Po zakończeniu projektu certyfikacji oferujemy ciągłe wsparcie w bieżącym utrzymaniu zgodności - wyjaśnimy i wesprzemy w pojawiających się kwestiach i pytaniach.