支付卡行業安全標準委員會發布《終端軟件安全保護指南》
責編:admin |2014-12-19 14:52:28支付卡行業安全標準委員會(PCI SSC)本周二發布了針對交互點(POI)上所運行設備軟件的安全開發和維護指南(以下稱《指南》)。
POI設備是指銷售終端(POS)設備中允許消費者使用信用卡進行支付和購買的硬件或軟件組件,比如刷卡機。根據支付卡行業安全標準委員會,《指南》針對的是存在于POI設備上的軟件,包括支付類和非支付類應用程序,強調分層方法對安全的重要性。
《指南》的目的是確保所有對軟件開發(和設備管理)負責的組織都要對潛在的威脅了解清楚,并為了應對這些威脅在整個開發生命周期采用適當的流程。雖然流程時序取決于組織、所開發的應用程序類型、所使用的軟件語言等,但原則都是相同的。”
據支付卡行業安全標準委員會,《指南》是為了幫助包括在POI設備內部編寫或實現應用程序的POI設備供應商在內的組織了解威脅,并在整個開發生命周期對其進行應對。《指南》的發布正值針對零售商以及POS設備供應商的網絡犯罪越來越多、越來越引起人們對POS設備關注的時刻。
罪犯對于支付交易一直都在窮盡一切辦法尋找數據泄露的途徑。當消費者和商家都受益于第三方應用程序所帶來的額外的特性、復雜性以及不斷增長的依賴性的同時,也為漏洞的利用創造了新的機會。這就是為什么在終端所依賴的軟件開發中盡職調查是如此地至關重要。《指南》強調了在這個獨特環境中軟件編碼的重要最佳實踐。
據支付卡行業安全標準委員會,組織可以使用本《指南》來幫助確保遵循標準安全編碼實踐,包括——
支持安全軟件開發安全意識培訓:
· 參與開發過程的人員(包括軟件開發人員和審核人員),在開發軟件以確保實現安全編碼實踐和解決當前威脅中扮演著重要角色。這些角色需要在開發開始前進行明確,并且這些人需要進行培訓并了解安全軟件開發計劃。
安全軟件開發生命周期:
· 在開發開始前,組織需要明確將解決已知威脅的軟件安全路線圖。軟件需要有規劃圖和記錄文檔及規則和流程定義,軟件的安全性才能作為開發過程的一部分得以實現,而不是事后補救。
設備級的測試:
· 對這些即將投入使用的硬件、固件和其他應用程序的工作原理進行了解是必要的。不僅模擬器測試和單元測試是必不可少的,而且使用完整解決方案對設備進行測試也是應該優先考慮的事情。
內部流程審核:
· 威脅環境是不斷發展的,因此組織需要時刻緊跟最新的威脅和變化,確保相應的流程依然能夠滿足并得到有效追蹤。
對于普通的零售商來說,在他們已經購買的產品上進行硬件和軟件安全測試的成本是高昂的。
在安全軟件開發生命周期實踐過程中對開發人員進行安全意識培訓,可以幫助確保應用程序開發者之間的一致性。這種在安全設計和預期中的一致性意味著應用程序在發布后將會有更少的漏洞可被利用。滲透測試人員每次執行評估時都會遇到與安全生命周期實踐相關的問題。這兩點或許是構建以安全和可預測方式運行軟件的最關鍵挑戰。