[14/12/2022] El Payment Card Industry Security Standards Council (PCI SSC) ha publicado la versión 1.2 de la norma PCI Secure Software Standard y su documentación de apoyo al programa. Esta norma, una de las dos que componen el PCI Software Security Framework, establece requisitos para ayudar a garantizar que el software de pago se diseñe, desarrolle y mantenga de forma que proteja las transacciones y los datos, minimice las vulnerabilidades y se defienda de los ataques.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La última versión introduce cambios menores en la norma relativos a aclaraciones/orientaciones y estructura/formato. También introduce cambios más significativos relativos a contenidos nuevos o en evolución, principalmente el Web Software Module, un conjunto de requisitos de seguridad suplementarios para abordar los problemas de seguridad más comunes relacionados con el uso de tecnologías de pago accesibles por Internet. La versión 1.2 también añade el requisito de que el personal de aseguramiento de la calidad de las empresas de SSF sea evaluador de SSF o haya completado una formación sobre conocimientos de SSF. Esto se adelanta a la normativa PCI DSS 4.0, que entrará plenamente en vigor en marzo del 2025.
Web Software Module ayuda a proveedores y desarrolladores de aplicaciones a aplicar controles de seguridad
En un comunicado de prensa, Emma Sutcliffe, SVP standards officer, PCI SCC, declaró que la norma PCI Secure Software Standard está diseñada para ofrecer un enfoque más flexible a la hora de probar la seguridad e integridad del software de pago. "El Web Software Module se introdujo para ayudar a los vendedores y desarrolladores de software a identificar e implantar controles de seguridad de software apropiados para protegerse contra los ataques habituales al software web", añadió.
La introducción del Web Software Module marca el final de los esfuerzos iniciales para lanzar el oftware Security Framework, declaró Andrew Jamieson, vicepresidente de estándares de soluciones, PCI SCC, con la siguiente fase de desarrollo centrada en proporcionar orientación adicional, mejorar los requisitos existentes y abordar tecnologías de pago, amenazas y técnicas de ataque nuevas y en evolución.
Las cuatro áreas de requisitos de alto nivel incluidas en el Web Software Module son:
- Documentación y seguimiento del uso de componentes de software y API de código abierto y de terceros en el software de pago.
- Controlar el acceso a las API web del software de pago y a otros activos críticos.
- Mitigación de ataques web comunes.
- Protección de las comunicaciones entre componentes de software de pago basados en web.
PCI DSS 4.0 introducirá nuevas normas de seguridad para los pagos con tarjeta de crédito
Las nuevas normas de procesamiento de pagos con tarjeta de crédito introducidas por PCI DSS 4.0 endurecerán considerablemente las normas de seguridad para las empresas. Aunque no entrarán plenamente en vigor hasta el 2025, todas las empresas que manejen datos de tarjetas de crédito y procesen pagos deberán aplicar niveles de seguridad mejorados. En noviembre del 2022, los expertos dijeron a CSO que las empresas no deberían dejar para el último momento sus esfuerzos de cumplimiento de PCI DSS 4.0, ya que la nueva normativa representa cambios notables. Entre ellos se incluyen requisitos mejorados relacionados con la personalización del cumplimiento, el despliegue de la seguridad del correo electrónico, la autenticación multifactor y los procesos de seguridad continuos.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú