PCI SSC ออกมาตรฐานใหม่ตอบโจทย์เทรนด์การพัฒนาซอฟต์แวร์ในปัจจุบัน

PCI SSC คณะกรรมการกำหนดมาตรฐานด้านความมั่นคงปลอดภัยของอุตสาหกรรมบัตรจ่ายเงินได้ประกาศออก Software Security Framework ที่เป็นมาตรฐานใหม่เพื่อตอบโจทย์เทรนด์ของการพัฒนาซอฟต์แวร์ปัจจุบันอย่างคอนเซปต์ DevOps หรือ Continous Delivery โดยคาดว่าจะนำมาใช้ได้ราวปี 2022 เพื่อแทนที่มาตรฐานเดิมอย่าง PA-DSS (Payment Application Data Security Standard) ที่จะหมดอายุลง

Software Security Framework นั้นพูดถึงเรื่องของขั้นตอนการตรวจสอบ (Assessment) และความต้องการที่ทำให้ซอฟต์แวร์สามารถปกป้อง Transaction และข้อมูลได้อย่างมั่นคงปลอดภัย (Confidentiality และ Integrity) โดยหลักๆ จะมุ่งไปที่เรื่องของ การตั้งค่าพื้นฐาน การระบุสินทรัพย์ที่สำคัญ การป้องกันข้อมูลละเอียดอ่อน การจำกัดการเข้าถึงและพิสูจน์ตัวตน การตรวจจับภัยคุกคาม และ คำแนะนำในทางปฏิบัติ เป็นต้น

อย่างไรก็ตามมาตรฐานใหม่มีจุดประสงค์คล้ายกับ PA-DSS (มาตรฐานปัจจุบัน) เพียงแต่สอดคล้องกับเทรนด์ของการพัฒนาซอฟต์แวร์ในปัจจุบันมากขึ้นที่ต้องการความยืดหยุ่นและรวดเร็ว ด้วยการเปิดโอกาสให้เลือกวิธีการทดสอบซอฟต์แวร์ได้หลากหลายมากขึ้น เช่น Interactive Application Security Testing (IAST) ซึ่งเป็นวิธีการที่ออกแบบมาเพื่อตอบสนองเทรนด์การพัฒนาซอฟต์แวร์ในปัจจุบัน เป็นต้น นอกจากนี้ทาง PCI SSC หวังว่ามาตรฐานใหม่จะช่วยให้ผู้ผลิตซอฟต์แวร์บัตรจ่ายเงินสามารถพัฒนาซอฟต์แวร์ได้อย่างมีความมั่นคงปลอดภัย

โดยรายละเอียดเชิงลึกทาง PCI SSC จะเปิดเผยเพิ่มเติมในหลายเดือนข้างหน้าในปีนี้ ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่บล็อกของ PCI


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Drupal ออกอัปเดต Core CMS อุดช่องโหว่หลายรายการตั้งแต่เวอร์ชัน 7, 8.5 และ 8.6

Drupal ระบบ Content Management System แบบ Open Source ยอดนิยม ประกาศออกแพตช์ด้านความมั่นคงปลอดภัยเพื่ออุดช่องโหว่ความรุนแรงระดับ “Moderately Critical” หลายรายการบน Drupal Core …

พบช่องโหว่บนไดร์ฟเวอร์ Wi-Fi จาก Broadcom คาดกระทบอุปกรณ์จำนวนมาก

Hugues Anguelkov นักวิจัยด้านความมั่นคงปลอดภัยได้รายงานช่องโหว่ 5 รายการที่เกิดบนไดร์ฟเวอร์ชิป Wi-Fi จาก Broadcom โดยสามารถนำไปสู่การโจมตีแบบ DoS และ Remote Code Execution ได้