You are here:

Standard PCI

Contact us

free consultation

PCI SSF

PCI Software Security Framework (SSF) to zbiór dwóch różnych i niezależnych standardów, które zostały opracowane w celu zabezpieczenia projektowania i tworzenia oprogramowania płatniczego.


PCI SSF składa się obecnie z dwóch oddzielnych standardów:


  • The Secure Software Lifecycle Program (SSL) określa wymagania oraz związane z nimi procedury testowe dla sprzedawców oprogramowania w celu potwierdzenia, w jaki sposób mogą oni prawidłowo zarządzać bezpieczeństwem oprogramowania płatniczego w całym cyklu życia oprogramowania.
    Secure SLC jest stosowane wobec producentów oprogramowania, którzy tworzą oprogramowanie dla branży płatniczej. Pozytywny wynik walidacji skutkuje zamieszczeniem informacji na dedykowanej liście na stronie PCI SSC

  • The Secure Software Standard (SSS or 3S) definiuje  zestaw wymogów  bezpieczeństwa i procedur  mających  na celu  odpowiednią  ochronę  i  zabezpieczenie  integralności   i poufności transakcji i danych płatniczych. Pozytywny wynik walidacji skutkuje zamieszczeniem informacji na dedykowanej liście na stronie PCI SSC.


Standard Secure Software dotyczy rozwiązań/aplikacji  zaangażowanych w/lub bezpośrednio wspierających lub ułatwiających transakcje płatnicze  przechowujące, przetwarzające lub przekazujące  dane kartowe  typu "clear-text" , które są sprzedawane, rozprowadzane lub licencjonowane osobom trzecim.


SC2labs świadczy usługi walidacji PCI SSF oraz PCI SSS, jako wykwalifikowany 

Audytor  PCI SSA i PCI SLCA certyfikowany przez PCI Security Standards Council

Standard Secure Software stosuje się do rozwiazań/aplikacji zaangażowanych w transakcje płatnicze lub bezpośrednio je wspierających lub ułatwiające, które są sprzedawane, rozpowszechniane lub licencjonowane osobom trzecim i które przechowują, przetwarzają lub przekazują  dane kartowe  w postaci jawnej.


Wymagania  Software Core :
 - stosowane do wszystkich rozwiązań certyfikowanych w standardzie  Secure Software

Moduł A:
- dotyczy oprogramowania, które przetwarza jawne dane posiadacza karty.

Moduł B:
- zaprojektowany i obowiązujący dla oprogramowania działającego na terminalach płatniczych z certyfikatem PCI-PTS

Moduł C
:
-dotyczy oprogramowania z interfejsami internetowymi

PCI SSF to ulepszona wersja standardu PA DSS, powstała na skutek dostosowania do zmian i ulepszeń wprowadzanych  w  technologiach płatniczych, platformach i praktykach tworzenia oprogramowania.
Jest to standard bezpieczeństwa płatności, który zawiera elementy PA DSS, jednak zastępuje niektóre tematy dodatkowymi wymaganiami, które wspierają szerszy zakres typów oprogramowania płatniczego, technologii i metodologii rozwoju.

Organizacje zajmujące się kartami płatniczymi już wprowadziły PCI SSF do swoich programów.


Materiał ze strony https://mastercard.com/sdp:
Aplikacje i oprogramowanie płatnicze dostarczane przez strony trzecie.


Mastercard wymaga od wszystkich handlowców i usługodawców, którzy korzystają z aplikacji płatniczych lub oprogramowania płatniczego dostarczanych przez strony trzecie, aby sprawdzili, czy każda aplikacja płatnicza lub oprogramowanie płatnicze są wymienione na stronie internetowej Rady Standardów Bezpieczeństwa PCI (SSC) jako zgodne odpowiednio ze standardem bezpieczeństwa danych aplikacji płatniczych PCI (PA-DSS) lub standardem bezpiecznego oprogramowania PCI. Mastercard zaleca, aby akceptanci korzystali z usług Qualified Integrator & Reseller (QIR) wymienionych na stronie PCI SSC w celu wdrożenia aplikacji płatniczej zgodnej z PA-DSS. Zaleca się również, aby handlowcy i usługodawcy korzystający z oprogramowania płatniczego dostarczanego przez osoby trzecie upewnili się, że dostawca oprogramowania płatniczego spełnia wymogi PCI Secure Software Lifecycle Standard.

Secure Software Standard (SSS) oraz  Secure Software Lifecycle (SLC) to trzyletnie programy, które skupiają się na różnych aspektach walidacji bezpieczeństwa oprogramowania.

Standard PCI  SLC  skupia się na ocenie kontroli bezpieczeństwa, praktyk projektowania i rozwoju oprogramowania, natomiast wymagania standardu PCI SSS sprawdzają  ogólną skuteczność bezpieczeństwa aplikacji płatniczej.

Organizacja posiadające certyfikacje w zakresie PCI SLC oraz PCI SSC mogą samodzielnie , bez udziału asesora aktualizować i walidować wprowadzenie  zmian określanych jako "low impact" wysyłając dokumentacje do PCI SSC. 

Wymagania podstawowe Secure Software podzielone są na cztery główne cele:

1: Minimizing the Attack Surface:
Core Objectives 1:  Critical Asset Identification;
Core Objectives 2: Secure Defaults;
Core Objectives 3: Sensitive Data Retention.

2: Software Protection Mechanisms:
Core Objectives 4: Critical Asset Protection;
Core Objectives 5: Authentication and Access Control;
Core Objectives 6: Sensitive Data Protection;
Core Objectives 7: Use of Cryptography .
3: Secure Software Operations:
Core Objectives 8: Activity Tracking;
Core Objectives 9: Attack Detection.
4. Secure Software Lifecycle Management:
Core Objectives 10: Threat and Vulnerability Management;
Core Objectives 11: Secure Software Updates;
Core Objectives 12: Vendor Security Guidance.

DODATKOWO :
Module A: Account Data Protection Requirements
Security requirements for software that stores, processes, or transmits account data.
A.1: Sensitive Authentication Data
A.2: Cardholder Data Protection
Module B: Terminal Software Requirements
Security requirements for software intended for deployment and execution on PCI-approved POI devices
B.1: Terminal Software Documentation
B.2: Terminal Software Design
B.3: Terminal Software Attack Mitigation
B.4: Terminal Software Security Testing
B.5: Terminal Software Implementation Guidance
Module C: Web Software Requirements
Additional security requirements for payment software intended for deployment and operation using internet-accessible clients and technologies.
C.1: Secure Software Components
C.2: Secure Authentication and Access Control
C.3: Secure Input Handling
C.4: Secure Communications.


Wymagania PCI Secure SLC podzielone są na cztery główne sekcje:


  • Software Security Governance:

Core Objectives 1: Security Responsibility and Resources;
Core Objectives 2: Software Security Policy and Strategy;

  • Secure Software Engineering:

Core Objectives 3: Threat Identification and Mitigation;
Core Objectives 4: Vulnerability Detection and Mitigation;

  • Secure Software and Data Management:

Core Objectives 5: Change Management;
Core Objectives 6: Software Integrity Protection;
Core Objectives 7: Sensitive Data Protection;

  • Security Communications:

Core Objectives 8: Software Vendor Implementation Guidance;
Core Objectives 9: Stakeholder Communications;
Core Objectives 10: Software Update Information


https://www.pcisecuritystandards.org/product-solutions-listings-overview/