近日,PCI安全标准委员会(PCI SSC)发布了PCI安全软件生命周期(Secure SLC)标准1.1版本及其项目文档。PCI Secure SLC标准是PCI软件安全框架(SSF)的两个标准之一。
PCI Secure SLC标准为软件供应商提供了安全要求和评估程序,可以集成到他们的软件开发生命周期中,验证安全生命周期管理实践是否到位。
PCI Secure SLC项目指南的1.1版更新将程序资格扩展到支付软件供应商以外。修订后的资格包括为支付卡行业开发软件产品的软件供应商。该计划的扩展使更多的供应商能够利用Secure SLC资格,并促进更广泛的供应商采用和参与Secure SLC计划。
PCI安全标准委员会高级副总裁Emma Sutcliffe说:“按照软件的发展速度,需要采用不同的方法来验证支付软件的开发是否遵循严格的安全惯例。”
“Secure SLC 标准与程序的最新版本覆盖范围扩大,不仅限于支付卡行业的支付软件开发商,还覆盖了支付环境中资源共享软件和组件的供应商,这将促进帮助更多厂商采纳和参与Secure SLC项目。”
新版本的PCI Secure SLC标准增还进行了勘误,增加了一些次要说明,并在标准和项目文档中统一了关键术语和定义。
PCI高级副总裁Troy Leach表示:“组织对第三方软件开发人员的依赖性日益增加,依靠这些公司来保护支付数据免受各种侵害,例如在线数字欺诈和供应链漏洞。遵守Secure SLC 标准也是一种公开承诺,即在软件的整个生命周期内维持其安全状态。”
参考资料
https://www.pcisecuritystandards.org/documents/PCI-Secure-SLC-Standard-v1_1.pdf