近日,atsec的评估人员已经通过PCI安全标准委员会(PCI SSC:Payment Card Industry Security Standard Council)基于新版PCI Secure Software v2.0标准的考核,成为首批具备该版本评估能力的评估机构。atsec非常荣幸可以全面依据PCI Secure Software v2.0新标准为软件厂商提供安全评估服务,并提交PCI SSC获得验证列表的公布,从而进一步助力支付产业构建更稳健的软件安全体系。
2026年1月,PCI SSC正式发布了PCI Secure Software标准v2.0版本及其配套体系指南(Program Guide),这是自2019年该标准问世以来的首次重大修订。PCI Secure Software v2.0更加适应不断演进的新的支付软件的发展,并作为支付产业的核心标准为相关软件产品提供评估和验证的参考和支撑。在超过18个月的时间里,PCI SSC与产业相关方紧密协作,对标准进行了全面重构与升级。atsec作为PCI GEAR成员之一,在标准的变更过程中积极参与讨论,并反馈了诸多有价值的建议。新标准更明确了针对敏感资产(Sensitive Asset)识别,同时将软件开发套件(SDK:Software Development Kit)纳入评估范围,包括EMVCo 3DS SDK。伴随标准发布的文件包括但不限于《PCI Secure Software Standard v2.0》、《PCI Secure Software Standard – Sensitive Asset Identification》(最新引入的敏感资产识别的指导文件)、《PCI Secure Software Program Guide》等。相关的ROV、AOV和变更影响(Change Impact)模板也已经发布,供产业相关机构查阅和使用。
PCI Secure Software标准作为PCI软件安全框架(SSF:Software Security Framework)的两大核心标准之一,旨在对软件产品本身进行安全评估,为支付相关数据和功能的软件设计、开发与维护提供安全保证。此次v2.0版本代表了软件安全理念的进一步成熟——从传统的“支付软件”视角拓展到更广泛的“敏感资产”保护理念,反映了软件安全在当今互联数字环境中的演进。 与上一版本相比,v2.0引入了多项重大变化。最为根本性的变革在于标准移除了“支付软件”(Payment Software)这一术语,代之以“敏感资产”(Sensitive Assets)的核心概念。敏感资产被定义为软件产品中任何未经授权访问、使用、修改或披露可能导致支付处理或支付相关数据安全受损的元素,包括软件产品本身。为支持这一框架,标准同时发布了强制性的敏感资产识别文件,要求软件厂商系统性地识别和记录其软件中的敏感数据(Sensitive Data)、资源(Sensitive Resource)、功能(Sensitive Functionality)及其可能涉及的敏感操作模式(Sensitive Modes of Operation)。下图摘自发布的Sensitive Asset Identification文件,宏观的展示了敏感资产的几个概念。
在标准的结构层面,v2.0将标准要求全面重组为11个安全目标(Security Objectives),取代了原有的控制目标(Control Objectives)术语,使标准结构更加清晰、逻辑更加连贯。此外,软件开发套件首次被纳入评估范围,新增模块D专门用于SDK评估,包括EMVCo 3DS SDK。
新的安全软件评估验证体系,更加清晰化了非安全影响的软件变更,简化了变更管理流程。新的体系不再采用之前提及的Low Impact和High Impact变更的说法,取而代之的是更加清晰了已经获得验证产品的变更流程,引入了管理变更(Administravie Change)和Delta变更两个大的类别。在v1.x版本中,软件厂商需将产品发布后的变更分为“低影响变更”(Low Impact Change)和“高影响变更”(High Impact Change)两类,不同分类对应不同的评估路径和管理要求。v2.0对这一分类体系进行了全面重构,正式移除了上述的“低影响”和“高影响”的说法,代之以更为简化的两级增量变更结构——Tier 1 Delta Changes 和 Tier 2 Delta Changes。这一调整旨在使变更评估流程更加精简、清晰和易于管理,降低软件厂商在维护已验证产品时的合规负担。v2.0对变更流程进行了上述主要调整,在管理安全软件产品及其列表方面“更加精简、更加直接”。
与此同时,v2.0重新强调且推荐了通配符(wildcard)版本管理的使用。对于非安全影响的软件变更,厂商无需进行完整的重新评估和认证,可以通过通配符来管理多个次要版本,无需将每次微小变更逐一提交PCI SSC审核。这一变化有效减轻了厂商的行政和管理负担,使变更管理更加高效灵活。
Secure SLC(Secure Software Lifecycle,安全软件生命周期)标准与Secure Software标准共同构成了PCI软件安全框架(SSF:Software Security Framework)。Secure Software标准聚焦于对软件产品本身的评估,而Secure SLC标准则关注软件供应商在开发和维护过程中的安全实践,也即软件是如何被设计、构建和管理的。通过Secure SLC评估并被列入PCI SSC官网“Secure SLC Qualified Vendor”列表的供应商,即可获得Qualified Secure SLC的验证结果。这一结果在v2.0的变更管理体系中发挥着重要且更加清晰的作用。Secure SLC Qualified Vendors被允许在降低评估机构参与或监督的情况下,执行并自我证明其软件的“增量”(Delta)评估(Tier 1 Delta Changes)。对于已通过Secure SLC认证的供应商,其对既有软件产品的某些变更可以在自我证明的基础上完成,无需每次都邀请评估机构进行完整介入。这不仅大幅减少了反复评估的时间与成本,也为软件厂商快速响应市场需求、频繁发布更新提供了程序性便利。
标准要求强制提供软件物料清单(SBOM:Software Bill of Materials)并对软件架构进行完整文档化;对敏感操作模式强制实施多因素认证(强认证)。总体而言,v2.0将支付软件合规从周期性验证转变为持续生命周期治理,要求软件厂商将安全内嵌到开发和运维的每一个环节中。
面对新版标准带来的深刻变化,atsec从标准制定之初便积极行动。同时,atsec的评估师率先高效通过了PCI SSC基于v2.0标准的考核,成为首批具备该版本评估能力的合格评估机构。这一成果不仅体现了atsec在支付安全评估领域深厚的技术积累和专业能力,也彰显了atsec始终致力于走在行业变化前沿的服务承诺。作为GEAR核心成员,atsec在标准修订过程中持续跟踪产业动态,提前内部完成了评估团队的培训和能力建设,以确保在新标准正式实施后能够第一时间为软件厂商提供高质量、高效率的评估服务。在随后约12个月的过渡期内,atsec将凭借丰富的PCI评估经验和专业的技术团队,协助客户顺利完成从v1.2.1到v2.0的平稳迁移,并深入解读新版标准在敏感资产识别、SDK评估、安全架构文档化等方面的核心要求,帮助客户在全新的安全框架下持续提升软件产品的安全水平。
atsec作为PCI SSC授权的合格评估机构,拥有全面的PCI体系资质,包括PCI QSA、ASV、P2PE、CPSA和PFI,同时也是安全软件(Secure Software)和安全软件生命周期(Secure SLC)、3DS及PIN安全的合格评估机构。atsec长期作为核心成员参与全球执行评估员圆桌会议(GEAR),努力工作在支付安全行业变化的最前沿,能够为客户提供涵盖支付生态全生命周期的综合性安全服务。即日起,atsec将可以采用PCI Secure Software v2.0标准的要求,为软件厂商开展全面评估。我们会进一步努力为全球支付产业的安全性做出我们的贡献。
