En enero de 2008 el PCI SSC publicaba la primera versión del estándar PA DSS (Payment Application Data Security Standard), documento basado en en el programa “Payment Application Best Practices” (PABP) de VISA, publicado en 2005.  El objetivo de este estándar fue el de establecer un marco cómun de controles de seguridad en términos de desarrollo seguro para aquellas aplicaciones de pago que cumplan con los siguientes criterios:

  • Almacenan, procesan o transmiten datos de tarjetas de pago como parte de los procesos de autorización o liquidación, y
  • Son vendidas, distribuídas o licenciadas por terceros.

Ya han pasado más de diez años desde aquel entonces (actualmente la versión de PA DSS es la 3.2) y tanto la tecnología, las metodologías de desarrollo y las amenazas a las aplicaciones de pago han cambiado. Es por ello que el PCI SSC ha considerado que los controles del estándar PA DSS se han quedado anticuados frente a los riesgos actuales y ha visto la necesidad de evolucionar los criterios de seguridad en el ciclo de vida de desarrollo de software, tanto para aplicaciones tradicionales como para aplicaciones emergentes, apostando por el desarrollo de un nuevo estándar de seguridad: PCI Software Security Standard (S3) Framework.

Este nuevo marco de trabajo será publicado a finales de 2018 como resultado de la revisión y comentarios de las organizaciones participantes del PCI SSC. La estructura de PCI S3 contará con tres documentos principales:

  • Requerimientos de seguridad de software (“Software Security Requirements”): Controles específicos para software de pago para proteger de forma adecuada la integridad y confidencialidad de las transacciones de pago y sus datos asociados.
  • Requerimientos de seguridad del ciclo de vida de desarrollo de software (“Secure Software Life Cycle Requirements”): Controles de seguridad para empresas desarrolladores de software de pago para gestionar de forma efectiva la seguridad en el desarrollo durante todo el ciclo de vida de sus aplicaciones.
  • Visión general del marco de trabajo PCI S3 (“S3 Framework Overview”): Un documento en donde se describirá a alto nivel el marco de trabajo propuesto y su programa de validación relacionado.

¿Qué sucederá con PA DSS cuando PCI S3 entre en vigencia?

Requisitos de PA DSS

PCI S3 vendrá con un conjunto de requisitos y un programa especifico de validación. Para permitir una adopción paulatina de este nuevo estándar, el PCI SSC definirá una serie de acciones que permitan la absorción paulatina de PA DSS por PCI S3:

  • Un programa de migración para las aplicaciones certificadas en PA DSS hacia PCI S3,
  • Homologación de los asesores certificados PA DSS QSA a PCI S3,
  • Pautas de adecuación para organizaciones que cuentan dentro de su entorno con aplicaciones PA DSS instaladas.

Durante el tiempo de migración ambos estándares serán operativos e inclusive se tiene planificada la publicación de corrección de erratas para PA DSS en 2018. Por otro lado, se garantizará la validez en las fechas de expiración de las listas de aplicaciones certificadas en PA DSS y publicadas en el sitio web del PCI SSC una vez que PA DSS sea declarado obsoleto.