PCI SSC ออกมาตรฐานใหม่ตอบโจทย์เทรนด์การพัฒนาซอฟต์แวร์ในปัจจุบัน

PCI SSC คณะกรรมการกำหนดมาตรฐานด้านความมั่นคงปลอดภัยของอุตสาหกรรมบัตรจ่ายเงินได้ประกาศออก Software Security Framework ที่เป็นมาตรฐานใหม่เพื่อตอบโจทย์เทรนด์ของการพัฒนาซอฟต์แวร์ปัจจุบันอย่างคอนเซปต์ DevOps หรือ Continous Delivery โดยคาดว่าจะนำมาใช้ได้ราวปี 2022 เพื่อแทนที่มาตรฐานเดิมอย่าง PA-DSS (Payment Application Data Security Standard) ที่จะหมดอายุลง

Software Security Framework นั้นพูดถึงเรื่องของขั้นตอนการตรวจสอบ (Assessment) และความต้องการที่ทำให้ซอฟต์แวร์สามารถปกป้อง Transaction และข้อมูลได้อย่างมั่นคงปลอดภัย (Confidentiality และ Integrity) โดยหลักๆ จะมุ่งไปที่เรื่องของ การตั้งค่าพื้นฐาน การระบุสินทรัพย์ที่สำคัญ การป้องกันข้อมูลละเอียดอ่อน การจำกัดการเข้าถึงและพิสูจน์ตัวตน การตรวจจับภัยคุกคาม และ คำแนะนำในทางปฏิบัติ เป็นต้น

อย่างไรก็ตามมาตรฐานใหม่มีจุดประสงค์คล้ายกับ PA-DSS (มาตรฐานปัจจุบัน) เพียงแต่สอดคล้องกับเทรนด์ของการพัฒนาซอฟต์แวร์ในปัจจุบันมากขึ้นที่ต้องการความยืดหยุ่นและรวดเร็ว ด้วยการเปิดโอกาสให้เลือกวิธีการทดสอบซอฟต์แวร์ได้หลากหลายมากขึ้น เช่น Interactive Application Security Testing (IAST) ซึ่งเป็นวิธีการที่ออกแบบมาเพื่อตอบสนองเทรนด์การพัฒนาซอฟต์แวร์ในปัจจุบัน เป็นต้น นอกจากนี้ทาง PCI SSC หวังว่ามาตรฐานใหม่จะช่วยให้ผู้ผลิตซอฟต์แวร์บัตรจ่ายเงินสามารถพัฒนาซอฟต์แวร์ได้อย่างมีความมั่นคงปลอดภัย

โดยรายละเอียดเชิงลึกทาง PCI SSC จะเปิดเผยเพิ่มเติมในหลายเดือนข้างหน้าในปีนี้ ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่บล็อกของ PCI