COTS支付处理应用程序的销售或租用公众对应用程序安全合规性的要求具有更严格的要求。这些要求最初由签证制定,实施和执行,并称为付款申请最佳实践(PABP)标准。
多年来,这些要求良好地服务于行业,并有助于保护签证信用卡商业符合符合符合符合措施的申请。然而,遗憾的是,PABP主要专注于申请加工签证,并且无法在所有支付卡品牌上共享增强的安全福利。显而易见的是,更广泛的,更具包含的应用安全标准是有序的;这是哪里PCI支付申请数据安全标准(PA-DSS)开始发挥作用。
2007年11月,PCI安全标准委员会(SSC)宣布,PABP将被PCI支付应用数字安全标准(PA-DSS)超越。在这样做的过程中,PCI SSC成为了维护这些新卡品牌独立需求并监督遵守这一新安全标准的唯一实体。之前已经被认证为符合最新版本的PABP规范的支付应用程序将在有限的时间内获得认证,并在必须根据新的PA -DSS重新认证之前获得一段宽限期。
从2008年10月开始,新开发的商业应用程序将必须进行测试,并发现它们符合PA-DSS要求。这两个标准是相似的,实际上大部分PA-DSS内容都是基于以前定义良好的PABP要求。然而,这两者之间有一些明显的区别,包括PA-DSS QSA对用于所有应用程序安全性测试的环境进行验证的非常严格的要求。
此外,PA-DSS实施指南(类似于PABP的最佳实践实施指南),详细参考如何以特定的支持,兼容的配置安全地实现支付应用程序和相关系统。它还显然,特定支持配置的任何偏差都可能确实危及PCI DSS对实施所选择的COTS支付申请的商家和企业的合规性。
额外签证授权
从2008年1月开始,签证在宣布一系列新任务时提出了申请安全的栏。最终,这些任务旨在消除从签证的支付处理网络中所认为是易受群体的支付申请的使用。要引用他们的公告,“这些任务要求收购者确保他们的商家和代理商不使用已知禁止数据的支付申请。”
初始签证授权将主要集中在今年签证签证处理系统的新付款申请。然而,随着其他额外授权在随着时间的推移被逐步逐步相位,他们的整体目标是在2010年7月期间强迫签证网络中所有已知的脆弱性支付处理系统的最终解除委员会。
此外,VISA将发布当前已知的易受攻击的申请列表,并为收购者提供信息。通过这样做,签证可以确保收购者将持有其商家和代理,仅适用于使用非易受攻击的付款处理系统。
结论
Web应用已成为银行和电子商务的骨干。利用Web和Web样技术的POS和付款处理应用程序正在作为类似遗留系统的下一代替代。他们连接最终用户,客户,商家,代理商和合作伙伴以及处理敏感数据,包括具有最高价值的个人和财务信息。他们在任何地方,到处都是,随时随地和实时。对于显着增强的应用程序安全性的需求变得至关重要,因此,PCI DSS和PA-DSS应用安全要求的重要性变得更加集中。
虽然应用安全呈现出一些最具挑战性的,但可能是最昂贵的,遵守PCI DSS的障碍需要6.6对于忽视,无论它有多么困难,也不高出成本如何。您的组织的未来取决于保护Web应用程序,未经授权的违规的成本将通过保护应用程序和敏感数据首先,以为正确的事物的成本。
本·罗斯克CISSP, QSA (ben.rothke@bt.com)是英国电信专业服务公司的安全顾问计算机安全:每个员工应该知道20件事(麦格劳山职业教育)。David Mundhenk Cissp,PCI-DSS&PA-DSS QSA,QPASP(Stratamund@sbcglobal.net)是一家拥有主要专业服务公司的安全顾问。
这篇文章“PCI应用程序安全:谁在保护数据库?”最初是由CSO 。