PCI Software Security Framework (SSF)

PCI Software Security Framework (SSF)

Das PCI SSF richtet sich an Unternehmen, die Software entwickeln, mit der Kartendaten der internationalen Zahlungssysteme American Express, Discover, JCB, MasterCard und Visa, verarbeitet werden. Web-Shop Software, Payment-Solutions oder Customer-Management-Systeme sind Beispiele für Softwareprodukte, die sich nach dem PCI SSF zertifizieren lassen. Ziel des PCI SSF ist die Unterstützung von Software Herstellern bei der Entwicklung sicherer Anwendungen, sowie die Sicherung sensibler Daten (z.B. Kreditkartendaten).

Mit einer PCI SSF Zertifizierung unterstützen Sie als Software-Hersteller Ihre Kunden bei deren Umsetzung von PCI DSS. Damit profitieren nicht nur Ihre Kunden sondern auch Sie, da Sie mit der Prüfung durch einen unabhängigen Dritten und dem Zertifikat das Vertrauen in Ihr Produkt stärken.

Das PCI SSF besteht aus zwei Standards, dem Secure Software Standard und dem Secure Software Lifecycle (Secure SLC) Standard.

Der Secure Software Standard stellt Anforderungen an das Software-Produkt und ermöglicht eine Listung als „Validated Payment Software“ auf der Webseite des PCI SSC. Dieses ersetzt das Listing nach dem nicht mehr verfügbaren PA-DSS Standard.

Der Secure SLC Standard stellt Anforderungen an den Entwicklungsprozess und ermöglich eine Listung des Herstellers als „Secure SLC Qualified Vendor“. Dies ermöglicht in einem begrenzten Rahmen selbst Änderungen an gelisteter Software vorzunehmen ohne Einbeziehung eines externen Assessors.

Leistungen von SRC

SSF Workshop

SRC unterstützt und berät Software-Hersteller bei der Umsetzung der Anforderungen des PCI SSF bei Software-Produkten z.B. mittels eines einführenden Workshops. Das Ziel des Workshops ist es, auf der einen Seite ein klares Verständnis für die Anforderungen des PCI SSF und dessen Interpretationen zu vermitteln und auf der anderen Seite einen umfassenden Überblick über die Software, die Software-Architektur, den Entwicklungsprozess sowie die umgesetzten oder geplanten Sicherheitsmaßnahmen zu gewinnen. Ebenso werden im Rahmen dieses Workshops die Vorgehensweise zur Durchführung eines Assessments sowie die anstehenden Arbeitsschritte abgestimmt.

Secure Software Assessment

SRC führt das Assessment auf der Basis der Anforderungen des PCI Secure Software Standards durch. Grundlage der Untersuchung bildet das Dokument „Payment Card Industry (PCI) Software Security Framework – Secure Software Requirements and Assessment Procedures“, das die Anforderungen an eine Software im Hinblick auf den PCI Secure Software Standards beschreibt.
Im Rahmen der Validierung prüft SRC, in welchem Umfang die in dem Dokument aufgeführten Anforderungen durch das Produkt erfüllt und umgesetzt werden.
SRC wird die Validierung schrittweise wie folgt durchführen:

  • Voranalyse und Review der Herstellerdokumente
  • Software-Validierung
  • Vor-Ort Analyse/Interviews
  • Erstellen des Reports

Nach einer positiven Prüfung der Ergebnisse des PCI Secure Software Assessments durch das PCI SSC wird die Software bzw. das Produkt in die im Internet verfügbare „List of validated payment software“ aufgenommen.
Prüfungen nach dem Secure SLC Standard werden von SRC zurzeit nicht angeboten.

Ihr Ansprechpartner

Bitte nutzen Sie unser allgemeines Kontakformular:

Verwandte Themen

Informieren Sie sich über die Themenfelder, die wir mit unserer Dienstleistung unterstützen.

Ihre Karriere bei SRC - Entdecken Sie Ihre Möglichkeiten!