Software Security Framework: Update auf Version 1.2 mit neuem Web Software Modul 

14. Dezember 2022

Das PCI Security Standards Council (PCI SSC) hat am 7.12.2022 Version 1.2 des PCI Secure Software Standards und die dazugehörige Programmdokumentation veröffentlicht. Zusammen mit dem PCI Secure Software Lifecycle (Secure SLC) Standard bildet der PCI Secure Software Standard das PCI Software Security Framework (SSF). In Version 1.2 des Secure Software Standard wurden kleinere Anpassungen zur Beseitigung von Unstimmigkeiten, Verdeutlichung seiner Zielsetzung und Vereinheitlichung der Sprache vorgenommen. Einige Test-Requirements wurden aktualisiert, konsolidiert oder entfernt. Die wichtigste Änderung in Version 1.2 ist jedoch die Einführung des neuen Web Software Modul. 

Neues Modul: Web Software 

Das Modul umfasst ergänzend zu den Kernanforderungen des Secure Software Standards eine Reihe von Sicherheitsanforderungen für Zahlungssoftware, die Internettechnologien, -protokolle und -sprachen zur Unterstützung oder Erleichterung elektronischer Zahlungstransaktionen nutzt.  

Das Web Software Modul umfasst vier übergeordnete Anforderungsbereiche: 

  • Dokumentation und Überwachung verwendeter Open-Source- und Drittanbieter-Softwarekomponenten und APIs in Zahlungssoftware 
  • Kontrolle des Zugriffs auf die Web-APIs der Zahlungssoftware und andere kritischer Ressourcen 
  • Schutz gegenüber gängigen Angriffen auf webbasierte Software   
  • Schutz der Kommunikation zwischen webbasierten Zahlungssoftware-Komponenten  

Aktualisierungen des Secure Software Report on Validation (RoV) und der Attestation of Validation (AoV) im Zusammenhang mit dem v1.2 Release werden voraussichtlich im ersten Quartal 2023 veröffentlicht. 

Auswirkungen auf bereits validierte und gelistete Zahlungssoftware 

Eine Zahlungssoftware, die bereits erfolgreich zertifiziert wurde und in der „List of Validated Payment Software“ des PCI SSC aufgeführt ist, ist von der Veröffentlichung des neuen Web-Software-Moduls nicht betroffen, bis das aktuelle Listing ausläuft. Zu diesem Zeitpunkt muss die Zahlungssoftware gemäß der dann aktuellen Version des Secure Software Standards und aller anwendbaren Module neu geprüft werden, um weiterhin als validierte Zahlungssoftware gelistet zu werden. Dies gilt auch für webbasierte Zahlungssoftware, die beispielsweise vor der Veröffentlichung des Web Software Moduls validiert und gelistet wurde, für die aber nun die Anforderungen des Web Software Moduls gelten. 

Auswirkungen auf den Secure SLC 

Mit dieser Version wurden keine Änderungen am PCI Secure Software Lifecycle (Secure SLC) Standard oder seiner unterstützenden Dokumentation vorgenommen. Die aktuelle Version des Secure SLC bleibt v1.1. 


Sie haben Fragen zum Secure Software Standard oder benötigen Unterstützung beim Übergang? Kontaktieren Sie uns, wir helfen Ihnen gern. 

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien