O Consórcio PCI informou que em 28 de outubro de 2022, o programa Payment Application Data Security Standard PA DSS será encerrado. Ele está sendo substituído pelo o PCI Secure Software Standard, um padrão dentro do PCI Software Security Framework (SSF).
Em 11 de novembro de 2020, o PCI publicou um artigo onde Jake Marcinko, gerente sênior do PCI SSC, Emerging Standards, faz a comparação entre os padrões e Tracey Harrington, Gerente PCI SSC, Programas de Certificação, apresenta os cronogramas e sugestões sobre como preparar a transição.
Abordamos neste artigo a evolução do padrão, como esforço do PCI DSS para aprimorar a segurança do sistema de pagamentos. A segurança das informações é uma das maiores preocupações, frente ao aumento dos ataques e tentativas de fraudes.
A evolução do PA DSS
Segundo o PCI, alteração visa endereçar novas necessidades em relação à segurança de software e oferecer alguns benefícios em relação ao PA-DSS:
- Maior diversidade de software a avaliar em relação ao software disponível anteriormente
- Mais agilidade para técnicas de desenvolvimento modernas e ciclos de lançamento
- Consistência no uso de segurança de software em todos os padrões PCI
- Maior transparência das atualizações provisórias de software
- Maior flexibilidade e responsabilidade para fornecedores de software na realização dos objetivos de segurança de software PCI
- Mais ênfase na educação dentro da comunidade de desenvolvimento de software sobre a importância da segurança de pagamento
Em resumo, o PCI Secure Software Standard e o programa de validação associado oferecem maior flexibilidade para acomodar várias abordagens de gerenciamento de software e utilizar processos de avaliação simplificados.
Ele permite a elegibilidade expandida para outras modalidades de software de pagamento que não são cobertas pelo escopo do PA-DSS.
PA DSS e Secure Software Standard – semelhanças e diferenças
As imagens a seguir resumem as semelhanças e as diferenças entre os dois padrões:
Secure Software Standard
O Secure Software Standard define um conjunto de requisitos de segurança e procedimentos de testes associados para ajudar a garantir que o software de pagamento proteja a integridade e a confidencialidade das transações e dados de pagamento.
O padrão inclui um conjunto de requisitos “principais” que se aplicam a todos os tipos de software de pagamento submetidos para validação no PCI Software Security Framework, independentemente da funcionalidade do software ou tecnologia subjacente.
A versão inicial do Secure Software Standard também inclui um “módulo” de proteção de dados da conta que se aplica ao software que armazena, processa ou transmite dados da conta.
Cronograma proposto
O PCI preparou um cronograma de substituição dos padrões, endereçando as principais etapas do trabalho de evolução, conforme o quadro abaixo:
Para quem ainda não começou transição para o novo padrão, os primeiros passos são conhecer os documentos e preparar os treinamentos internos das equipes envolvidas. O PCI SSC oferece as informações necessárias.
O material de treinamento já está disponível para a preparação das equipes e para o início da mudança dos processos.