支付卡行业安全标准委员会发布《终端软件安全保护指南》
作者: 日期:2014年12月19日 阅:2,243

0

支付卡行业安全标准委员会(PCI SSC)本周二发布了针对交互点(POI)上所运行设备软件的安全开发和维护指南(以下称《指南》)。

POI设备是指销售终端(POS)设备中允许消费者使用信用卡进行支付和购买的硬件或软件组件,比如刷卡机。根据支付卡行业安全标准委员会,《指南》针对的是存在于POI设备上的软件,包括支付类和非支付类应用程序,强调分层方法对安全的重要性。

《指南》的目的是确保所有对软件开发(和设备管理)负责的组织都要对潜在的威胁了解清楚,并为了应对这些威胁在整个开发生命周期采用适当的流程。虽然流程时序取决于组织、所开发的应用程序类型、所使用的软件语言等,但原则都是相同的。”

据支付卡行业安全标准委员会,《指南》是为了帮助包括在POI设备内部编写或实现应用程序的POI设备供应商在内的组织了解威胁,并在整个开发生命周期对其进行应对。《指南》的发布正值针对零售商以及POS设备供应商的网络犯罪越来越多、越来越引起人们对POS设备关注的时刻。

罪犯对于支付交易一直都在穷尽一切办法寻找数据泄露的途径。当消费者和商家都受益于第三方应用程序所带来的额外的特性、复杂性以及不断增长的依赖性的同时,也为漏洞的利用创造了新的机会。这就是为什么在终端所依赖的软件开发中尽职调查是如此地至关重要。《指南》强调了在这个独特环境中软件编码的重要最佳实践。

据支付卡行业安全标准委员会,组织可以使用本《指南》来帮助确保遵循标准安全编码实践,包括——

支持安全软件开发安全意识培训:

· 参与开发过程的人员(包括软件开发人员和审核人员),在开发软件以确保实现安全编码实践和解决当前威胁中扮演着重要角色。这些角色需要在开发开始前进行明确,并且这些人需要进行培训并了解安全软件开发计划。

安全软件开发生命周期:

· 在开发开始前,组织需要明确将解决已知威胁的软件安全路线图。软件需要有规划图和记录文档及规则和流程定义,软件的安全性才能作为开发过程的一部分得以实现,而不是事后补救。

设备级的测试:

· 对这些即将投入使用的硬件、固件和其他应用程序的工作原理进行了解是必要的。不仅模拟器测试和单元测试是必不可少的,而且使用完整解决方案对设备进行测试也是应该优先考虑的事情。

内部流程审核:

· 威胁环境是不断发展的,因此组织需要时刻紧跟最新的威胁和变化,确保相应的流程依然能够满足并得到有效追踪。

对于普通的零售商来说,在他们已经购买的产品上进行硬件和软件安全测试的成本是高昂的。

在安全软件开发生命周期实践过程中对开发人员进行安全意识培训,可以帮助确保应用程序开发者之间的一致性。这种在安全设计和预期中的一致性意味着应用程序在发布后将会有更少的漏洞可被利用。渗透测试人员每次执行评估时都会遇到与安全生命周期实践相关的问题。这两点或许是构建以安全和可预测方式运行软件的最关键挑战。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章