PCI Software Security Framework (SSF) to zbiór dwóch różnych i niezależnych standardów, które zostały opracowane w celu zabezpieczenia projektowania i tworzenia oprogramowania płatniczego.
PCI SSF składa się obecnie z dwóch oddzielnych standardów:
The Secure Software Lifecycle Program (SSL)
The Secure Software Standard (SSS or 3S)
Standard PCI Secure Software stosuje się do rozwiązań/aplikacji zaangażowanych w/ lub bezpośrednio wspierających lub ułatwiających transakcje płatnicze przechowujące, przetwarzające lub przekazujące dane kartowe typu "clear-text", które są sprzedawane, rozprowadzane lub licencjonowane osobom trzecim.
SC2labs świadczy usługi walidacji PCI SSF oraz PCI SSS, jako wykwalifikowany
Audytor PCI SSA i PCI SLCA certyfikowany przez PCI SSC
Standard Secure Software stosuje się do rozwiazań/aplikacji zaangażowanych w transakcje płatnicze lub bezpośrednio je wspierających lub ułatwiające, które są sprzedawane, rozpowszechniane lub licencjonowane osobom trzecim i które przechowują, przetwarzają lub przekazują dane kartowe w postaci jawnej.
Wymagania Software Core :
- stosowane do wszystkich rozwiązań certyfikowanych w standardzie Secure Software.
Moduł A:
- dotyczy oprogramowania, które przetwarza jawne dane posiadacza karty.
Moduł B:
- zaprojektowany i obowiązujący dla oprogramowania działającego na terminalach płatniczych z certyfikatem PCI-PTS.
Moduł C:
-dotyczy oprogramowania z interfejsami internetowymi.
Standard Secure Software (SSS) oraz standard Secure Software Lifecycle (SLC) to trzyletnie programy, które skupiają się na różnych aspektach walidacji bezpieczeństwa oprogramowania.
Walidacja jest przeprowadzana przez akredytowanego audytora - PCI Secure Software Assessor w przypadku standardu PCI SSS oraz audytora Secure SLC Assessor przy standardzie PCI SLC.
Pozytywny wynik walidacji skutkuje zamieszczeniem informacji na dedykowanej liście na stronie PCI SSC.
Organizacja posiadające certyfikacje w zakresie PCI SLC oraz PCI SSC mogą samodzielnie, bez udziału asesora aktualizować i walidować wprowadzenie zmian określanych jako "low impact" wysyłając dokumentacje do PCI SSC. Jeśli podmiot posiada tylko certyfikację PCI SSC każda aktualizacja i zmiana wymaga zaangażowania audytora.
Spotkanie otwierające
Po podpisaniu Umowy współpracę rozpoczynamy spotkaniem otwierającym. Omówimy proces certyfikacji, określimy osoby kontaktowe z obydwu organizacji, zdefiniujemy ramy czasowe projektu i zaplanujemy kolejne kroki. Audytor przekaże również specjalnie przygotowane materiały, które pomogę zespołowi projektowemu odpowiednio przygotować się do audytu.
Faza przygotowawcza
W tym etapie proponujemy indywidualne podejście uzależnione od Państwa potrzeb, które może obejmować:
- SSF szkolenie/workshop - nasi dedykowani do projektu audytorzy SSF przeprowadzą szkolenie i wyjaśnią wszystkie wymagania standardu SSF, co prowadzi do lepszego zrozumienia procesu i właściwego przygotowania do walidacji formalnej
- analiza zakresu/ SSF scoping – jeden z kluczowych elementów procesu, który pomoże zminimalizować i określić dokładny zakres audytu
- Ocena wstępna (Pre-assessment) lub pełny GAP Assessment. Podczas oceny wstępnej audytor ogólnie przygląda się środowisku i przegląda dokumentację w celu zidentyfikowania ewentualnych braków. Analiza GAP jest bardziej szczegółowym procesem, w którym przeprowadzamy ocenę aktualnej sytuacji w kontrolach bezpieczeństwa, systemach, dokumentacji i środowisku w odniesieniu do wszystkich wymogów zgodności z PCI SSF. Podsumowanie GAP zawiera wszelkie zidentyfikowane rozbieżności oraz niezbędne zalecenia dotyczące działań
- Wsparcie podczas procesu wdrażania zmian - zapewniamy wsparcie i doradzamy w trakcie naprawy i implementowania koniecznych poprawek i zmian
Formalna walidacja
Audyt on-site jest formalnym procesem, w którym akredytowani audytorzy sprawdzają procesy i tworzone w organizacji aplikacje płatnicze w zakresie zgodności z wymaganiami odpowiedniego standardu SSF. Przeprowadzona zostanie wnikliwa analiza bezpieczeństwa badanego rozwiązania - w tym wywiady z zespołem projektowym oraz wyznaczonymi pracownikami, zgodność z dokumentacją, procedury bezpieczeństwa, wnikliwa ocena bezpieczeństwa badanego rozwiązania. Udokumentowane zostaną wykonane testy i wyniki prowadzonej walidacji.
Opracowanie dokumentacji
Formalna dokumentacja - w tym Raport zostanie przekazana w terminie do 3 tygodni od momentu zakończenia projektu (otrzymania przez audytora wszystkich wymaganych danych/dokumentów/informacji). Podczas tej fazy projektu powinien również zostać podpisany Vendor Agreement pomiędzy Państwa organizacją a Radą Standardu PCI SS, jak również należy uiścić opłatę wpisową zgodnie z wystawioną bezpośrednio przez PCI fakturą. Następnie, zgodnie z procedurami raport jest wysyłany do Rady Standardu. Po pozytywnym zatwierdzeniu dokumentacji odpowiedni wpis o Państwa certyfikacji zostanie zamieszczony na dedykowanej liście publikowanej na stronie internetowej PCI SSC.
Dokumentacja obejmuje:
| Standard SLC | Standard SSA |
|---|---|
| Report on Compliance (RoC) |
Report on Validation (RoV) |
| Attestation of Compliance (AoC) |
Attestation of Validation (AoV) |
| Certificate of Compliance | Certificate of Compliance |
Wsparcie po zakończeniu projektu
Po zakończeniu projektu certyfikacji oferujemy ciągłe wsparcie w bieżącym utrzymaniu zgodności - wyjaśnimy i wesprzemy w pojawiających się kwestiach i pytaniach.