PCI Lanzo el Documento para Procedimientos de Evaluación y Requisitos del Ciclo de Vida del Software Seguro.

PCI Lanzo el Documento para Procedimientos de Evaluación y Requisitos del Ciclo de Vida del Software Seguro.

 PCI compartió su nuevo Software Security Framework . PCI describe en este documento los Requisitos y procedimientos de evaluación del Ciclo de vida del software seguro los estándares de seguridad de software, programas de validación y listado asociados para el diseño, desarrollo y mantenimiento seguro de software de pago moderno.

Incluye, además, dos estándares para uso de los proveedores de software. El primero, el Estándar de software seguro, que es un estándar de seguridad de software para el software de pago y el segundo, es el estándar de ciclo de vida del software seguro (SSLC), que es un conjunto de requisitos de seguridad a lo largo del ciclo de vida del software para los proveedores de software de pago.

PCI desarrolló estos nuevos requisitos en respuesta a un panorama cambiante de amenazas, que incluye cada vez más ataques en la capa de aplicación. De hecho, de acuerdo con el Informe de investigación de violaciones de datos de 2018 de Verizon , los ataques a las aplicaciones web siguen siendo el patrón de incidentes más frecuente. Además, el Informe sobre el estado de seguridad del software v9 de Veracode, basado en un análisis de los datos creados a través de las pruebas de los clientes en la plataforma de seguridad de aplicaciones de Veracode, encontró que más del 85% de todas las aplicaciones tienen al menos una vulnerabilidad en ellas y más del 13% tiene al menos un defecto de gravedad crítica. PCI también actualizó sus requisitos para abordar las cambiantes prácticas de desarrollo, como la aparición de DevOps.

PCI Software Security Framework es una respuesta muy necesaria al aumento de los ataques de las aplicaciones web y cómo esto afecta las bases de datos que contienen la información de los clientes, la reputación de la empresa y reconoce que la salud del software de una organización está vinculada a la seguridad y la privacidad de sus clientes, y el hecho de que la seguridad de la aplicación (AppSec) es un problema frecuente. Algo de lo que hemos conversado en varias empresas es fomentar la disciplina en cuanto a las pruebas de seguridad en todo el ciclo de vida del software, desde el desarrollo, pasando por los módulos open source hasta la producción y ahora podemos tener un documento de PCI que afirma este convencimiento que tiene Veracode hace años y que ha hecho que su plataforma está al día en estos requisitos. Por otro lado, también reconoce la capacitación para los desarrolladores en codificación segura, indicando que “tener personal capacitado para conocer las pautas de codificación segura debe minimizar el número de vulnerabilidades de seguridad introducidas a través de prácticas de codificación deficientes”.

Este documento tendrá un impacto significativo en las organizaciones que desarrollan y las que dependen del software de pago, en particular en los sectores financiero y retail. En resumen, los proveedores de aplicaciones de pago, procesadores y comerciantes deberán implementar un proceso de desarrollo de aplicaciones seguro. Además, las organizaciones deberán encontrar una solución integrada que sea fácil de administrar y que cumpla con los plazos de auditoria sin aumentar los gastos generales.

En Veracode, tenemos la experiencia en seguridad de aplicaciones para ayudarlo a cumplir con los cambios en las regulaciones.

Deje una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *