Adecuación y Certificación PCI SSF (Software Security Framework)

El Marco de Seguridad de Software PCI (SSF) es una colección de normas y programas para la seguridad del diseño y desarrollo de software de pago. La seguridad del software de pago es una parte crucial del flujo de las transacciones de pago y es esencial para facilitar un flujo preciso y fiable de las transacciones de pago.
 

El Marco SSF sustituye al estándar de seguridad de los datos para aplicaciones de pago (PCI SSS) con requisitos modernos que apoyan una gama más amplia de tipos, tecnologías y metodologías de desarrollo de software de pago. Con el enfoque en el resultado de sus requisitos, el SSF proporciona más agilidad a los desarrolladores para que incorporen la seguridad en la aplicación de pago con prácticas de desarrollo ágiles y ciclos de actualización frecuentes.

El SSF permite acelerar el suministro de personalización y características para las aplicaciones de pago para los comerciantes sin comprometer la seguridad. También mejora la consistencia y la transparencia en la prueba de aplicaciones de pago, lo que eleva la garantía de validación para los comerciantes, proveedores de servicios y adquirentes que implementan y gestionan el uso de soluciones de pago.

Se compone de los siguientes estándares:

  • Estándar de Software Seguro (Secure Software Standard – SSS):
    El Estándar de Software Seguro proporciona requisitos de seguridad para la creación de software de pago seguro para proteger la integridad y la confidencialidad de los datos sensibles que se almacenan, procesan o transmiten en asociación con las transacciones de pago. Está destinado a fabricantes que desarrollan software de pago que soporta o facilita las transacciones de pago.
  • Estándar del Ciclo de Vida de Software Seguro (Secure Software Lifecyle Standard – SSLCS):
    El estándar del Ciclo de Vida de Software Seguro proporciona requisitos de seguridad para que los fabricantes de software de pago integren la seguridad durante todo el ciclo de vida del software, lo que da como resultado un software que es seguro por diseño y capaz de resistir ataques. Está destinado a fabricantes que están desarrollando software de pago que soporta o facilita las transacciones de pago.

Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de pago queda afectada por el cumplimiento de los requerimientos que establece PCI DSS, y puede ser elegible para certificar sus aplicaciones y/o procesos a través del Marco PCI SSS.

Análisis del Entorno de Cumplimiento

El objetivo de esta fase es la de comprender las características de la aplicación/nes que serán proceso objeto del alcance, en relación con la transmisión, procesamiento o almacenamiento de datos de tarjetas y definir el entorno que debe ser protegido. Por lo tanto, será necesario identificar el entorno de impacto del Marco de seguridad, definir limites, y obtener la información necesaria de los procesos a alto nivel, adquiriendo en la medida de lo posible una fotografía del entorno real.

Esta fase también permitirá la identificación de las relaciones con terceras partes (proveedores de servicios) y cómo influyen en el cumplimiento de PCI SSS.

Posterior a conocer el entorno de cumplimiento se validará la información obtenida contra los requisitos establecidos por el Marco PCI SSS de cara a comprobar el estado de cumplimiento de la/s aplicación/nes.

Elaboración del Informe de Estado de Cumplimiento y Plan de Acción

Se redactará el informe final que muestre la situación actual y se hará el planteamiento de un Plan de Acción recomendado por Internet Security Auditors para la completa adecuación al Marco de Seguridad definido por SSS.

Esta fase se alimenta de toda la información obtenida previamente, donde se definirán los flujos de transmisión de datos, procesos principales, así como de los repositorios y dispositivos en los que se almacena, maneja o procesa la información de las tarjetas de pago.

Este informe final contendrá los siguientes puntos principales:

  • Resumen ejecutivo
  • Metodología utilizada
  • Definición del Entorno de Cumplimiento
    • Diagramas de red y flujos de datos de tarjetas a alto nivel
    • Estado actual de cumplimiento
  • Plan de Acción para alcanzar el alineamiento en la/s aplicación/nes.
  • También podrían incluirse recomendaciones que podrán ser abordadas en los proyectos correspondientes.

Auditoría de Certificación del Cumplimiento de PCI SSS

Es crucial para cumplir correctamente con los requerimientos de PCI SSS que el entorno de auditoría esté correctamente identificado y cumpla con todos los requerimientos definidos en el apéndice B del ROV Reporting template.

Se ejecutará el plan de auditoría, llevando a cabo la evaluación de los controles implementados para cumplir los requerimientos PCI SSS.

Como resultado final de la auditoría se elaborará el demoniado Informe de Validación (Report on Validation – ROV) en el que se incluirá:

  • 1. Descripción del ámbito de revisión
  • 2. Resumen Ejecutivo
  • 3. Hallazgos y Observaciones
  • 4. Información de Contacto y Fecha de Informe