PCI Secure Software Standard (SSS) to kluczowy element ramowego standardu PCI SSF (Secure Software Framework), opracowanego przez PCI Security Standards Council (PCI SSC). Standard ten wyznacza szczegółowe wymagania bezpieczeństwa dla oprogramowania, które obsługuje dane płatnicze, takie jak aplikacje przetwarzające, przechowujące lub przesyłające dane kartowe.

PCI software security ma szczególne znaczenie dla producentów oprogramowania.

Zamów bezpłatną konsultację

Pomaga im zagwarantować klientom najwyższy poziom ochrony danych płatniczych i osiągnąć pełną zgodność z wymaganiami PCI SSF, co jest istotne dla współpracy z organizacjami kartowymi, takimi jak Visa czy Mastercard. Dodatkowo certyfikacja PCI SSS pozwala na zwiększenie konkurencyjności produktów oraz zaufania klientów. Jest również kluczowa w przypadku sprzedaży oprogramowania firmom trzecim, które wymagają zgodności z rygorystycznymi wymogami bezpieczeństwa. Certyfikacja znacząco ułatwia procesy certyfikacyjne użytkownikom końcowym, takim jak akceptanci czy integratorzy.

Jak możemy Ci pomóc?

Jeśli planujesz stworzenie, rozwój lub certyfikację oprogramowania związanego z obsługą danych płatniczych, zespół PatronusSec, posiadający akredytację Secure Software Assessor (SSA), pomoże Ci osiągnąć pełną zgodność z wymaganiami PCI Secure Software i PCI SSF. Przeanalizujemy Twoje założenia projektowe, aby upewnić się, że spełniają one wymagania PCI Secure Software Standard.

Wspieramy również w przygotowaniu oprogramowania do certyfikacji PCI SSS, oferując konsultacje i szczegółową analizę, które pozwolą wyeliminować potencjalne problemy. Nasze usługi obejmują także przeprowadzanie certyfikujących audytów PCI SSF, które umożliwiają uzyskanie oficjalnej certyfikacji. Dodatkowo pomagamy zwiększyć bezpieczeństwo i zaufanie klientów, wdrażając najlepsze praktyki ochrony danych płatniczych, co ułatwia również spełnienie innych standardów, takich jak PCI DSS.

Bezpłatna konsultacja

Jak będziemy z Tobą pracować?

Etap 1

Analiza
luk

Opcjonalny, ale niezwykle pomocny etap, szczególnie dla nowych klientów. Przeprowadzimy symulację audytu certyfikacyjnego, wskażemy niezgodności i obszary wymagające poprawy, a także zaproponujemy najlepsze rozwiązania dla Twojego oprogramowania.

Etap 2

Konsultacje

Podczas procesu certyfikacji będziesz mieć wiele pytań i wątpliwości. Jako Twój zaufany partner, odpowiemy na wszystkie pytania, pomożemy rozwiązać problemy i przeprowadzimy Cię przez cały proces krok po kroku.

Etap 3

Audyt
certyfikujący

Nasz audyt może odbywać się w formie zdalnej, na miejscu lub w formule hybrydowej. Po zakończeniu audytu otrzymasz listę dokumentów i dowodów wymaganych do zakończenia procesu.

Etap 4

Poprawki i
zbieranie dowodów

Na poprawienie niezgodności i dostarczenie wymaganych dowodów masz do 90 dni. Im szybciej dostarczysz wymagane informacje, tym szybciej my zakończymy proces audytowy.

Etap 5

Raportowanie

Przygotujemy szczegółowy raport zgodności, zawierający opis Twojego środowiska oraz wyniki audytu. Dokument ten będzie zgodny z wymaganiami PCI SSC i gotowy do przesłania do oceny przez ich zespół.

Etap 6

Wysyłanie dokumentów
do PCI SSC

To już jest prawie koniec z naszej strony... Rozwiązanie SSA jest listowane na stronie PCI SSC i podlega przeglądowi i ocenie zespołu AQM (Assessor Quality Management). Zespół ten przegląda naszą prace i dalej zatwierdza rozwiązanie lub zwraca rozwiazanei do nas w przypadku pytań. Proces ten trwa zwykle do 3 miesięcy i jest całkowicie niezależny od nas. Na początku tego etapu generowana jest faktura z PCI SSC - jej terminowa płatność jest kluczowa, gdyż płatność do PCI SSC pozwoli rozpocząć cały proces.

Etap 7

Zakończenie

Ten krok lubimy najbardziej. W momencie zatwierdzenia rozwiązania otrzymasz podpisany przez PCI SSC dokument AOV i jeden lub dwa dni później rozwiązanie pojawia się na stronie PCI SSC. To jest koniec całego procesu - kilka dni później otrzymasz od nas certyfikat marketingowy potwierdzający zakończenie całego procesu.

Wywiady z personelem Rozmowy z kluczowymi członkami zespołu, aby lepiej zrozumieć Twoją organizację, zakres obowiązków i metody zarządzania środowiskiem kartowym.

Przegląd konfiguracji Weryfikacja konfiguracji systemów, urządzeń oraz innych elementów, takich jak systemy kontroli dostępu czy alarmowe, aby potwierdzić ich zgodność z PCI SSF.

Przegląd procesów zarządzania Analiza procedur zarządzania środowiskiem, takich jak raportowanie zmian, przeglądy logów czy procesy patchowania.

Przegląd dokumentacji Sprawdzenie dokumentacji opisującej środowisko kartowe, w tym diagramów sieciowych, polityk oraz procedur. Dokumenty muszą być aktualne (ostatni przegląd nie starszy niż 12 miesięcy).

Obserwacje procesów Bezpośrednie obserwacje krytycznych procesów, takich jak generowanie kluczy, dystrybucja kluczy, wgrywanie aplikacji na terminale czy wizyty w Secure Room.

Testowanie oprogramowania Oprogramowanie, które będziemy oceniali musi przejść przez nasze testy. Nie są to formalne testy penetracyjne, ale będziemy testować jak zachowuje się twoje oprogramowanie w sytuacjach skrajnych. Dodatkowo będziemy sprawdzali czy oprogramowanie zachowuje się zgodnie z założeniami (np czy nie przechowuje danych kartowych w plikach tymczasowych) .

Po audycie dostarczymy dokumentację zawierającą wszystkie obserwacje i wymagania w formie trackera. Gdy spełnisz wymagania zawarte w trackerze, przygotujemy raport końcowy, który zostanie przesłany do PCI SSC.

FAQ – PCI Secure Software (PCI SSF)

Czym jest PCI Secure Software Standard (PCI SSF)? ›

To ramowy standard opracowany przez PCI Security Standards Council, określający wymagania bezpieczeństwa dla oprogramowania przetwarzającego, przechowującego lub przesyłającego dane płatnicze w celu ochrony tych danych i zwiększenia zaufania.

Ile trwa proces certyfikacji PCI SSF? ›

Proces certyfikacji trwa zwykle od 2 do 4 miesięcy, zależnie od przygotowania i kompleksowości oprogramowania oraz tempa dostarczania dokumentów i dowodów.

Ile kosztuje certyfikacja PCI SSF? ›

Koszt ustalany jest indywidualnie na podstawie zakresu audytu, złożoności oprogramowania i liczby komponentów. Dokładna wycena jest dostępna po bezpłatnej konsultacji.

Kto powinien przeprowadzić certyfikację PCI SSF? ›

Przede wszystkim producenci oprogramowania obsługującego dane kart płatniczych, a także dostawcy aplikacji płatniczych, którzy chcą zwiększyć bezpieczeństwo i spełnić wymagania organizacji kartowych.

Jak wygląda współpraca z Patronusec podczas certyfikacji? ›

Projekt dzieli się na 7 etapów: analiza luk, konsultacje, audyt certyfikacyjny, poprawki i zbieranie dowodów, raportowanie, wysłanie dokumentów do PCI SSC oraz zakończenie z uzyskaniem certyfikatu.

Jakie elementy obejmuje audyt PCI SSF? ›

Audyt składa się z wywiadów z personelem, przeglądu konfiguracji i procesów zarządzania, szczegółowej weryfikacji dokumentacji oraz obserwacji kluczowych procesów, a także testowania oprogramowania pod kątem bezpieczeństwa.

Czy testy oprogramowania w PCI SSF to testy penetracyjne? ›

Nie są to formalne testy penetracyjne, ale sprawdzamy jak oprogramowanie zachowuje się w sytuacjach skrajnych oraz czy np. nie przechowuje danych kartowych w niewłaściwy sposób (np. w plikach tymczasowych).

Jakie są wymagania dotyczące dokumentacji? ›

Dokumentacja musi być aktualna, a data ostatniego przeglądu nie może być starsza niż 12 miesięcy. Weryfikujemy polityki, procedury oraz diagramy sieciowe Twojej organizacji.

Jak szybko po zakończeniu audytu otrzymam certyfikat? ›

Po dostarczeniu wszystkich wymaganych materiałów i pozytywnym wyniku audytu, dokumenty są wysyłane do akceptacji do PCI SSC. Dedykowany zespół AQM przegląda rozwiązanie i po pozytywnym wyniku publikuje rozwiązanie na stronie PCI SSC. Cały proces nie powinien zająć więcej niż 2 miesiące.

Formularz kontaktowy

Skorzystaj z formularza kontaktowego lub skontaktuj się z nami bezpośrednio.

Patronusec Sp z o. o.

Biuro:
ul. Święty Marcin 29/8
61-806 Poznań, Polska

KRS: 0001039087
REGON: 525433988
NIP: 7831881739
D-U-N-S: 989454390
LEI: 259400NAR8ZOX1O66C64

PCI Secure Software

Certyfikaty PCI