Conheça as mudanças no PA DSS

O Consórcio PCI informou que em 28 de outubro de 2022, o programa Payment Application Data Security Standard PA DSS será encerrado. Ele está sendo substituído pelo o PCI Secure Software Standard, um padrão dentro do PCI Software Security Framework (SSF).

Em 11 de novembro de 2020, o PCI publicou um artigo onde Jake Marcinko, gerente sênior do PCI SSC, Emerging Standards, faz a comparação entre os padrões e Tracey Harrington, Gerente PCI SSC, Programas de Certificação, apresenta os cronogramas e sugestões sobre como preparar a transição.

Abordamos neste artigo a evolução do padrão, como esforço do PCI DSS para aprimorar a segurança do sistema de pagamentos. A segurança das informações é uma das maiores preocupações, frente ao aumento dos ataques e tentativas de fraudes.

A evolução do PA DSS

Segundo o PCI, alteração visa endereçar novas necessidades em relação à segurança de software e oferecer alguns benefícios em relação ao PA-DSS:

  • Maior diversidade de software a avaliar em relação ao software disponível anteriormente
  • Mais agilidade para técnicas de desenvolvimento modernas e ciclos de lançamento
  • Consistência no uso de segurança de software em todos os padrões PCI
  • Maior transparência das atualizações provisórias de software
  • Maior flexibilidade e responsabilidade para fornecedores de software na realização dos objetivos de segurança de software PCI
  • Mais ênfase na educação dentro da comunidade de desenvolvimento de software sobre a importância da segurança de pagamento

Em resumo, o PCI Secure Software Standard e o programa de validação associado oferecem maior flexibilidade para acomodar várias abordagens de gerenciamento de software e utilizar processos de avaliação simplificados.

Ele permite a elegibilidade expandida para outras modalidades de software de pagamento que não são cobertas pelo escopo do PA-DSS.

PA DSS e Secure Software Standard - semelhanças e diferenças

As imagens a seguir resumem as semelhanças e as diferenças entre os dois padrões:

 

O Secure Software Standard define um conjunto de requisitos de segurança e procedimentos de testes associados para ajudar a garantir que o software de pagamento proteja a integridade e a confidencialidade das transações e dados de pagamento.

O padrão inclui um conjunto de requisitos “principais” que se aplicam a todos os tipos de software de pagamento submetidos para validação no PCI Software Security Framework, independentemente da funcionalidade do software ou tecnologia subjacente.

A versão inicial do Secure Software Standard também inclui um “módulo” de proteção de dados da conta que se aplica ao software que armazena, processa ou transmite dados da conta.

O PCI preparou um cronograma de substituição dos padrões, endereçando as principais etapas do trabalho de evolução, conforme o quadro abaixo:

Transição do PA DSS para o Secure Software Standard
Fonte: PCI

Para quem ainda não começou transição para o novo padrão, os primeiros passos são conhecer os documentos e preparar os treinamentos internos das equipes envolvidas. O PCI SSC oferece as informações necessárias.

O material de treinamento já está disponível para a preparação das equipes e para o início da mudança dos processos.