miércoles, 3 de marzo de 2021

Análisis de los Cambios Introducidos por la v1.1 de PCI SSLCS

 El pasado 18 de febrero de 2021 el PCI SSC publicó en el repositorio de su página web (https://www.pcisecuritystandards.org/document_library) la actualización de cuatro documentos a sus versiones 1.1:


Dichos documentos pertenecen al Marco de Software Seguro (PCI SSF - PCI Software Security Framework) y, en concreto, del estándar PCI Secure Software Lifecycle Standard (PCI SSLCS).

El estándar PCI Secure SLC junto con el PCI Secure Software Standard (PCI SSS) forman parte del marco de seguridad de software PCI (SSF). Este estándar proporciona requisitos de seguridad y procedimientos de evaluación para que los fabricantes de software se integren en sus ciclos de vida de desarrollo de software y validen que existen prácticas seguras de gestión del ciclo de vida.

Antes de esta publicación del PCI SSF, cualquier software que tratara datos de tarjeta, era susceptible únicamente de ser certificable bien por PA-DSS o bien por los requisitos aplicables (principalmente el requisito 6) de PCI DSS v3.2.1.

¿En qué consiste esta actualización de la v1.0 a la v1.1?

En esta actualización de los documentos mencionados relativa al programa PCI SSLC, el PCI SSC tiene como intención ampliar la elegibilidad más allá de los fabricantes de software de pago. La elegibilidad revisada incluye fabricantes de software que desarrollan productos de software para la industria de tarjetas de pago. Esta expansión del programa permite que más fabricantes aprovechen la calificación de “PCI Secure SLC” y facilita la adopción y participación más amplia de proveedores en el Programa PCI Secure SLC.

El estándar PCI Secure SLC v1.1 también aborda las erratas, agrega aclaraciones menores y alinea los términos y definiciones clave en la documentación del programa y del estándar.

El resumen de los cambios realizados se especifica en el Anexo I al final del artículo.

¿Cómo afecta a los fabricantes de software de pago?

Los fabricantes deben descargar la documentación del programa actual y hacer referencia a la versión 1.1 de la Guía del programa cuando trabajen con la versión 1.1 del estándar. Esto es de aplicabilidad tras la publicación por parte del PCI SSC de los documentos.

Resumen de los cambios afectados

A continuación se resumen los cambios realizados en los procedimientos de evaluación y requisitos del ciclo de vida del software seguro (Secure SLC) de la v1.0 a la v1.1. La Tabla 1 proporciona una descripción general de los tipos de cambios. La Tabla 2 resume los cambios materiales encontrados en los Procedimientos de evaluación y requisitos del ciclo de vida del software seguro (Secure SLC) v1.1.

Tipo de Cambio Definición
Aclaración Aclara la intención del requisito. Asegura que la redacción concisa en el estándar refleje la intención deseada de los requisitos.
Guía adicional Explicación, definición y/o instrucción para aumentar la comprensión o proporcionar más información u orientación sobre un tema en particular.
Requisito evolucionado Cambios para garantizar que los estándares estén actualizados con las amenazas emergentes y los cambios en el mercado.

Tabla 1: Tipos de cambio


Section Cambio Tipo
V.1.0 V.1.1
Varios Varios Pequeñas actualizaciones para abordar las erratas, mejorar la legibilidad y aclarar la intención. Se agregó una aclaración para diferenciar a los fabricantes de software de otros tipos de proveedores a los que se hace referencia en el documento. Aclaración
Varios Varios Reemplazo de todas las referencias de "software de pago" por "software"; y "SSLC" con "Secure SLC". Reemplazo también de todas las referencias de "guía de seguridad del fabricante" por "guía de implementación del fabricante de software" para alinear con los cambios del Objetivo de Control número 8 y cambios similares en el PCI SSS. Aclaración
Varios Varios Se agregaron hipervínculos a todas las referencias internas a otras secciones, objetivos de control y requisitos de prueba Aclaración
Requisitos del Ciclo de Vida del Software Seguro Requisitos del Ciclo de Vida del Software Seguro Se agregó "PCI" al título de la sección Requisitos del Ciclo de Vida del Software Seguro. Aclaración
Objetivos de Seguridad Visión General de Requisitos Actualización del título y el contenido de la sección para eliminar el concepto de "objetivos de seguridad" como una construcción de documento formal. También se eliminaron referencias similares de otras secciones del documento. Aclaración
Procedimientos de Evaluación y Requisitos de Prueba Procedimientos de Evaluación y Requisitos de Prueba

Se movió la frase que hace referencia a sub-viñetas y términos definidos por el fabricante de software al primer párrafo de esta sección para alinearla con información similar en el PCI SSS.

Aclaración
Requisitos de SLC Seguro
2.4 2.4 Se corrigió la referencia en la última viñeta del Requisito de Prueba 2.4.b del Objetivo de Control 2.5 al Objetivo de Control 2.6. Aclaración
2.5 2.5 Se movió la referencia al Requisito de Prueba 2.4.a anteriormente en el Requisito de Prueba 2.5.a para mejorar la legibilidad. Aclaración
2.6 2.6 Se eliminó la referencia al Objetivo de Control 2.5 del Requisito de Prueba 2.6.b. Aclaración
3.2 3.2 Se actualizó el lenguaje en la tercera viñeta del Requisito de Prueba 3.2.b para eliminar la información irrelevante. Aclaración
3.3 3.3 Se eliminaron las referencias a la revisión de pruebas específicas para simplificar el Requisito de Prueba 3.3.c. También se actualizó el lenguaje en la guía para mejorar la legibilidad. Aclaración
3.4 3.4 Se eliminó la referencia al Objetivo de Control 3.3 de la última viñeta del Requisito de Prueba 3.4.a. Aclaración
4.1 4.1 Se eliminaron las referencias al Objetivo de Control 1.3 del quinto punto del Requisito de Prueba 4.1.a y de la guía. Aclaración
5
6
5
6
Se actualizó el lenguaje en los Objetivos de Control padres para que estén más basados en objetivos y sean menos prescriptivos. Aclaración
8
8.1
8.2
8
8.1
8.2
Se reemplazaron las referencias a "guía de seguridad del fabricante" por "guía de implementación del fabricante de software" para aclarar la intención y alinearse con cambios similares en el PCI SSS. Aclaración
10.1 10.1 Se eliminó la referencia al Objetivo de Control 5.2 de la última viñeta en el requisito de prueba 10.1.b. Aclaración

Tabla 2: Resumen de los cambios


Referencias 

https://blog.pcisecuritystandards.org/pci-secure-slc-program-expands-vendor-eligibility-with-version-1-1
https://www.pcisecuritystandards.org/document_library


Autor: Alberto Villar - PCI PA-QSA, PCI QSA CISSP, ISO 27001 L.A., CSFPC, SFPC
Dpto. Consultoría