Vom 14. März bis zum 12. April 2022 waren ausgewählte Interessengruppen, darunter QSA-Unternehmen, vom PCI Security Standards Council dazu eingeladen, das Web Software-Modul für den PCI Secure Software Standard zu prüfen und in einer sogenannten Request for Comment-Phase (RFC) Feedback hierzu zu geben.
Torsten Schlotmann, Head of PCI Security Services bei der usd AG: „Die RFCs des PCI Council sind für uns stets eine willkommene Gelegenheit, unsere Expertise und unsere Erfahrungen aus unzähligen Security Audits in die Entwicklung und Verbesserung neuer PCI-Sicherheitsstandards einfließen zu lassen. Für unsere Kunden bedeutet das, dass wir auch ihre Interessen gegenüber dem Council kommunizieren können und sie selbstverständlich zu allen veröffentlichten Neuerungen auf dem Laufenden halten.“
Das Web Software-Modul für den PCI Secure Software Standard
Der PCI Secure Software Standard ist modular aufgebaut. Die einzelnen Module umfassen jeweils Anforderungen, die funktions- und plattformspezifisch auf bestimmte Anwendungsfälle ausgerichtet sind.
Das Web Software-Modul beinhaltet eine Reihe neuer Sicherheitsanforderungen für Zahlungssoftware, die für den Einsatz im E-Commerce oder anderen Online-Zahlungsszenarien vorgesehen ist. Zu den Themen, die im Web Software-Modul aufgegriffen werden, gehören sichere Verwendung von Softwarekomponenten, Authentifizierung und Zugriffskontrolle, sichere Verarbeitung von Eingabedaten und sichere Kommunikation.
Das Web-Software-Modul erweitert damit die bereits bestehenden Module des PCI Secure Software Standard:
- Das „Core“-Modul mit allgemeinen Sicherheitsanforderungen für alle Zahlungsapplikationen
- Das Modul „Account Data Protection“, welches besondere Anforderungen für Zahlungsapplikationen beinhaltet, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichern, verarbeiten oder übermitteln.
- Das Modul „Terminal Software“, welches eine Reihe von Anforderungen an Zahlungsapplikationen enthält, die z.B. auf PCI-zugelassenen Kartenlesegeräten eingesetzt oder betrieben werden.
Damit wird der Umfang der vom PCI Secure Software Standard abgedeckten Anwendungsfälle im Zahlungsverkehr weiter vergrößert.
Über den PCI Secure Software Standard
Der PCI Secure Software Standard ist Teil des PCI Software Security Framework. Am 28. Oktober 2022 wird es den bisherigen Standard für Zahlungsapplikationen, den PCI PA-DSS, vollständig ablösen.
Wie Ihnen der Übergang vom PA-DSS zum Secure Software Standard gelingt, haben wir hier für Sie beschrieben.