Der Payment Application Data Security Standard (PA-DSS), der bis dato geltende Sicherheitsstandard für Zahlungssoftware des PCI Security Standards Councils, wird im Oktober 2022 durch seinen Nachfolger, den Secure Software Standard, vollständig abgelöst. Zusammen mit dem Secure Software Lifecycle (Secure SLC) Standard bildet dieser das neue PCI Software Security Framework des Councils. Zertifizierungen nach den beiden neuen Standards sind parallel zum PA-DSS bereits seit letztem Jahr möglich.
Diese Übergangsphase ist ein guter Zeitpunkt für betroffene Unternehmen sich mit den wichtigsten Fragen zu beschäftigen: Welche Auswirkungen hat der neue Secure Software Standard auf künftige Zertifizierungen? Welche Deadlines sollte man im Auge behalten? Wie kann man sich bestmöglich und rechtzeitig auf die Ablösung und die neue Zertifizierung vorbereiten?
Größere Software-Vielfalt und mehr Flexibilität
Die Anforderungen der beiden Standards PA-DSS und Secure Software Standard können nicht 1:1 miteinander verglichen werden. Der Secure Software Standard unterstützt eine breitere Spanne von Anwendungen, Architekturen und Funktionen von Software als der PA-DSS. Zudem bringt er mehr Agilität hinsichtlich aktueller Entwicklungstechniken und Release-Zyklen, womit beispielsweise mehr Transparenz bei Updates von Softwareprodukten geschaffen werden kann.
Im Gegensatz zum PA-DSS formuliert der Secure Software Standard außerdem zielorientierte Anforderungen, deren konkrete Umsetzung Softwarehersteller selbst gestalten können. Dies ermöglicht Unternehmen eine größere Flexibilität in der Ausgestaltung ihrer Sicherheitsmaßnahmen.
Ein weiterer maßgeblicher Vorteil des Secure Software Standards liegt in der Möglichkeit für Softwarehersteller, sich zusätzlich nach dem Secure Software Lifecycle Standard, zertifizieren zu lassen. Hierbei werden die Entwicklungsprozesse des Herstellers selbst zertifiziert, sodass dieser geringere Änderungen an seiner Software selbst auf Compliance mit dem Secure Software Standard überprüfen kann.
Module mit Anforderungen für bestimmte Software-Produkte
Der Secure Software Standard ist modular aufgebaut. Jedes Modul beinhaltet eine Zusammenstellung von Anforderungen, die bestimmte Anwendungsfälle adressieren. Zum jetzigen Zeitpunkt hat das PCI Council 2 Module veröffentlicht: Das „Core“-Modul mit allgemeinen Sicherheitsanforderungen für alle Zahlungssoftware-Produkte und das Modul „Account Data Protection“, welches besondere Anforderungen für Zahlungssoftware beinhaltet, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichert, verarbeitet oder übermittelt.
Als drittes Modul hat das Council die Veröffentlichung des „Terminal Software“-Moduls angekündigt. Dieses enthält eine Reihe von Anforderungen an Einsatz und Betrieb von speziell angefertigten Zahlungsterminals.
Das Konstrukt der Module macht den Secure Software Standard wesentlich dynamischer und anpassungsfähiger für Updates und Änderungen in Hinblick auf künftige Entwicklungen in der Praxis.
Wichtige Eckdaten in der Übergangsphase
Um den Übergangsprozess für alle Beteiligten zu erleichtern, wurde vom PCI Council eine Übergangsphase vorgesehen, in welcher der PA-DSS verfügbar bleibt. Betroffene Unternehmen sollten folgende beiden Daten im Blick behalten: Juni 2021 und Oktober 2022.
Im Moment sind Re-Zertifizierungen nach dem PA-DSS und Einreichungen von neuen Zahlungsanwendungen zur Zertifizierung nach PA-DSS noch möglich. Dies ändert sich zum 30.06.2021. Neu eingereichte Zahlungsanwendungen müssen danach direkt nach dem neuen Secure Software Standard zertifiziert werden.
Zum Oktober 2022 läuft der PA-DSS dann endgültig aus. Bestehende PA-DSS-validierte Anwendungen bleiben bis zu ihrem Ablaufdatum in der Liste der validierten Zahlungsanwendungen. Durch den bekannten Prozess können Anbieter auch bis Oktober 2022 Änderungen an diesen Anwendungen einreichen. Danach werden die Anwendungen unter der Kategorie „Acceptable Only for Pre-Existing Deployments” (nur für bereits existierende Deployments zulässig) in der vom Council geführten Liste von zertifizierten Anwendungen aufgeführt.
Workshop und Gap-Analyse als erste Schritte der Vorbereitung
Für Unternehmen stellt sich nun die Frage, wie sie sich bestmöglich auf die Umstellung vorbereiten können. Unsere zertifizierten Experten raten im ersten Schritt zu einem Workshop, in dem das neue Framework, die Standards und die Anforderungen vorgestellt werden. Darauf aufbauend sollte für alle gelisteten Software-Produkte eine Gap-Analyse zwischen dem PA-DSS und dem Secure Software Standard erfolgen. Dadurch gewinnen Unternehmen eine aussagekräftige Vorstellung davon, welche Anforderungen der neue Standard beinhaltet und wie sie sich auf ein zukünftiges Audit nach dem Secure Software Standard vorbereiten können.
Welche zum Teil signifikanten Änderungen Sie erwarten und welche Vorteile eine zusätzliche Zertifizierung nach dem Secure SLC Standard für Sie haben kann, hat unser Experte Torsten Schlotmann hier für Sie zusammengefasst.
Sie haben Fragen zum Secure Software Standard oder benötigen Unterstützung beim Übergang? Kontaktieren Sie uns, wir helfen Ihnen gern.