Qué debe saber sobre las actualizaciones de PCI Safe …


Los nuevos requisitos agregan 50 controles que cubren cinco objetivos de manage. Aquí hay una mirada de alto nivel a cada objetivo.

(Imagen: Alex a través de Adobe Stock)

(Imagen: Alex a través de Adobe Inventory)

El 29 de abril de 2021, el PCI Council anunció una actualización del Estándar de software package seguro, que determine los criterios para varios tipos de computer software de pago para evaluación y listado. El PCI Council hizo varias aclaraciones a los controles dentro del estándar, agregó orientación adicional a un par de secciones y agregó su nuevo módulo específico para Requisitos de application de terminal, que se aplica al program destinado a la implementación y ejecución en terminales de pago.

Específico para el nuevo módulo del Estándar de software program seguro, el Módulo B, Requisitos de software de terminal se centra en el software program destinado a la implementación y ejecución en terminales de pago o dispositivos de punto de interacción (POI) de PIN Transaction Protection (PTS) aprobados por PCI. En complete, la nueva sección agrega 50 controles que cubren cinco objetivos de management.

Echemos un vistazo de alto nivel a cada objetivo. (Nota: «Program» se refiere al program que se está evaluando para cumplir con el estándar).

Documentación del software program de terminal
La documentación del application de terminal tiene el objetivo principal de garantizar que todos los aspectos del computer software estén documentados. Esto incluye interfaces de programación de aplicaciones (API), interfaces de usuario (UI), flujos de datos, manejo de datos confidenciales, ajustes de configuración, todas las entradas / salidas, condiciones de mistake, algoritmos criptográficos, actualizaciones remotas y acceso remoto.

Los datos sensibles (por ejemplo, datos de seguimiento) son de individual preocupación porque hacen referencia a los tres estados de datos reconocidos por la industria: en reposo / almacenados, en uso / procesados ​​y en tránsito. Además, explain las definiciones de las opciones de configuración que pueden afectar la seguridad de los datos confidenciales y los métodos de eliminación segura del almacenamiento, temporal y permanente.

Diseño de software program de terminal
El diseño de software de terminal se centra en garantizar que el application no permita cambios en el terminal de pago que permitan eludir las características, funciones o características de seguridad. Este objetivo de manage tiene un conjunto sizeable de controles. Entre ellos:

  • El objetivo de control garantiza que el application esté diseñado para su implementación en terminales de pago específicas, en specific, dispositivos de puntos de interés aprobados por PCI. Cada PDI identificado en la documentación del software debe inspeccionarse y compararse con la Lista de dispositivos PTS aprobados del PCI SSC para determinar el modelo, el número de aprobación de PTS, la versión de hardware y los números de versión de firmware correspondientes. El program debe utilizar las características y funciones integradas en el PDI en lugar de implementar sus propias características o funciones similares. El objetivo principal de esto es garantizar que el software externo no introduzca nuevas vulnerabilidades o debilidades en el PDI.
  • Se pueden usar protocolos abiertos, pero solo si se ajustan a la guía / política de seguridad del proveedor de puntos de interés. Si se utilizan protocolos abiertos, no se les permite eludir o agregar servicios o protocolos más allá de los proporcionados con los terminales de pago. Esto debe documentarse en la guía / política de seguridad del proveedor de la terminal de pago.
  • Además, el software prohíbe eludir y / o desactivar el cifrado proporcionado por el terminal de pago. Se prohíbe que los datos de la cuenta compartidos entre el terminal de pago y el software program se compartan en un estado claro / no cifrado con «otro» software o software package no incluido en la evaluación.

Mitigación de ataques de application de terminal
El título de este objetivo de regulate lo dice todo: Los controles de seguridad del software program se implementan para mitigar los ataques de application. Las mejores prácticas de desarrollo de application seguro entran en juego en este objetivo de handle, incluida la validación de entradas externas y valores de cadena, manejo adecuado de búferes, manejo de memoria y condiciones de error, y evitación de condiciones de carrera.

Pruebas de seguridad de software package de terminal
De manera related a la Mitigación de ataques de software package de terminal, las pruebas de seguridad de program de terminal claramente señalan la necesidad de garantizar que el computer software se pruebe «rigurosamente» para detectar vulnerabilidades antes de cada lanzamiento.

Se espera que el desarrollador de application tenga un proceso documentado que se siga para probar el application en busca de vulnerabilidades antes de cada actualización o lanzamiento. Las pruebas de manage en este objetivo continúan destacando las mejores prácticas de desarrollo de software seguro: pruebas de puertos o protocolos innecesarios, identificación de transmisiones no seguras de datos de cuentas, identificación de credenciales predeterminadas, credenciales de autenticación codificadas, cuentas o datos de prueba y / o application ineficaz. controles de seguridad.

Guía de implementación de software program de terminal
De manera identical al estándar anterior PA DSS, las organizaciones que implementan software package de pago deben tener una guía clara y completa sobre la implementación, configuración y operación seguras del program en las terminales de pago aprobadas para su uso con el software program.

Navegar por el panorama de estándares en constante cambio puede ser difícil, pero los profesionales de seguridad experimentados encontrarán el mayor éxito en la adopción de protocolos de cumplimiento actualizados, si pueden combinar el cumplimiento con los objetivos comerciales generales. Cuando se trata de estándares publicados por el PCI SSC, asegúrese siempre de que la (s) organización (es) que brindan orientación esté registrada en el consejo, especialmente si está realizando trabajo de certificación para su organización.

Sean Smith es el director de la práctica de Servicios de Asesoría PCI de Optiv, con más de 18 años de experiencia en seguridad y cumplimiento de tarjetas de crédito. Actualmente preside el comité de liderazgo de PCI de Optiv y supervisa todos los proyectos de PCI además de facilitar la calidad … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic