—ソフトウエアベンダーが次世代決済向けセキュアソフトウエアソリューションの開発を促進するための新たなPCI基準、ペイメントアプリケーションデータセキュリティ基準(PA-DSS)は2022年に終了—
米マサチューセッツ州ウェイクフィールド--(BUSINESS WIRE)--(ビジネスワイヤ) -- PCIセキュリティスタンダードカウンシル(PCI
SSC)は本日、最新の決済ソフトウエアのセキュアデザインと開発のための新要件について公表しました。PCIセキュアソフトウエア基準とPCIセキュアライフサイクル(セキュアSLC)基準は、新たなPCIソフトウエアセキュリティフレームワークを構成するもので、本フレームワークはソフトウエアベンダーおよびそのソフトウエア製品のバリデーションプログラムと、評価者向けの資格認定プログラムを含みます。これらのプログラムは2019年内に開始されます。
PCI
SSCのトロイ・リーチ最高技術責任者(CTO)は、次のように述べています。「決済分野における革新は驚くようなペースで進んでいます。それぞれの発展・成果により、業界は以前にも増して迅速・効率的にアプリケーションを開発するとともに、決済承認のための新プラットフォーム用ソフトウエアをデザインするための機会が得られます。新しいPCIセキュアソフトウエア基準とPCIセキュアSLC基準は開発者のソフトウエアが次世代アプリケーション向け決済データを保護できることを実証するための動的手法を提供することで、決済ソフトウエアビジネスにおけるこうした発展を支えます。」
各PCIソフトウエアセキュリティ基準は従来の決済ソフトウエア向けペイメントアプリケーションデータセキュリティ基準(PA-DSS)の対象範囲を超えて、とりわけ下記の点において、最新の決済ソフトウエアを対象にソフトウエアセキュリティの全体的な弾力性の問題に対処できるようにします。
PCIセキュアソフトウエア基準では、決済ソフトウエアが決済取引/データの完全性および機密性を適切・確実に保護できるようにするためのセキュリティ要件と評価手続きについて、全体像を示しています。
PCIセキュアSLC基準では、ソフトウエアベンダーがソフトウエアの全体的ライフサイクルを通じて決済ソフトウエアのセキュリティを適切に管理している状況を立証するためのセキュリティ要件と評価手続きについて、全体像を示しています。
これらの基準はPA-DSSに取って代わるものであり、PA-DSSが2022年に終了すると有効になります。それまでの間は、PA-DSSに投資を行った組織のために段階的移行期間となります。新たな基準とPA-DSS移行期間の詳細については、PCIパースペクティブのブログ記事「最新記事:新たなPCIソフトウエアセキュリティ基準」(Just
Published: New PCI Software Security Standards)をご覧ください。
各PCIソフトウエアセキュリティ基準は決済カード業界関係者で構成される専門タスクフォースの意見を取り入れて開発しました。PCI
SSCの参加組織と評価者も策定プロセスの間、複数回のコメント募集(RFC)期間を通じて、基準を評価し、基準についての意見を提出しました。
「コード卓越性のためのソフトウエアアシュアランスフォーラム」(SAFECode)のエグゼクティブディレクターを務めるスティーブ・リップナー氏はPCIソフトウエアセキュリティタスクフォースに参加した1人で、次のように述べています。「PCIセキュアソフトウエアライフサイクル基準の最終バージョンを評価できてうれしく思います。この文書は決済カード業界とその認証プロセスのニーズを満たすソフトウエアセキュリティの最優良事例の適応を明瞭に反映しており、またSAFECodeの原則やSAFECodeのセキュアソフトウエア開発向けの基本手法における考え方によく見合ったものとなっています。私は特に、事後的な試験によってセキュリティの確保を試みるのではなく、ソフトウエア開発プロセスの中にセキュリティを組み込むことを重視している点が素晴らしいと思います。」
PCIセキュアソフトウエア基準、PCIセキュアSLC基準、補助的なFAQ文書、用語集、略語集、頭字語集をPCI SSCウェブサイトのドキュメントライブラリーからダウンロード可能です。
PCIセキュリティスタンダードカウンシルについて
PCIセキュリティスタンダードカウンシル(PCI
SSC)は、企業がサイバー攻撃や侵害を検知、抑制、防止するのに役立つ業界主導型の柔軟で効果的なデータセキュリティ基準およびプログラムを提供することで、決済セキュリティを向上させる世界的で業界横断型の取り組みを主導しています。リンクトインでPCI
SSCと交流してください。ツイッター@PCISSCで対話に参加してください。PCIパースペクティブ・ブログを購読してください。
本記者発表文の公式バージョンはオリジナル言語版です。翻訳言語版は、読者の便宜を図る目的で提供されたものであり、法的効力を持ちません。翻訳言語版を資料としてご利用になる際には、法的効力を有する唯一のバージョンであるオリジナル言語版と照らし合わせて頂くようお願い致します。
Contacts
Mark Meissner
PCI Security Standards Council
+1-202-744-8557
press@pcisecuritystandards.org
Twitter
@PCISSC
