想到香草冰的歌词很有趣, “停止, 合作, 和听,可以用来描述2018年PCI北美社区会议, 但这是相当合适的. 每年, PCI安全标准委员会举办流行的行业会议和, 每年, LBMC信息安全正在着手发现新的理事会举措, 学习应对常见合规挑战的新策略, 并与解决方案提供商和其他评估机构合作.

停止

所有与PCI符合性相关的持续活动, 很重要的一点是，我们应该先考虑并评估商家所观察到的相关责任和流程, 服务提供商, 和评估员. 社区会议为这些组织提供了相互接触的机会, 以及会务工作人员和卡牌代表. 明升体育app下载想法是培育一种环境，鼓励所有利益相关者……

合作

该委员会今年的中心主题是“合作确保支付数据安全”.委员会领导反复强调，他们的意图是收集与会组织代表的意见，以不断提高各种PCI安全标准. 的标准组织, 包括EMVCo, NIST, ASC, 和独联体, 参与小组讨论，确认他们致力于与理事会合作，使各项标准保持一致. 委员会还鼓励参与并承诺在征求意见过程中保持透明度，直到v4.PCI DSS为0. 总之，理事会向组织界表明了它打算……

听

社区会议最重要的方面之一是为参与的组织提供了与编写和监督标准的人员直接接触的机会. 在今年的演讲中, 随着标准的发展，校董会职员表示愿意听取社会各界的意见和建议. 新兴的标准和要求, 以及对现有要求的澄清, 似乎解决了组织在合规项目中面临的共同斗争. 自2016年以来，理事会每次会议都有一名评估人Q&有机会向理事会的工作人员发表演讲. 值得赞扬的, 委员会一直在接受他们不知道的合规挑战和相关的改进建议. LBMC信息安全赞赏理事会的接受能力，并致力于代表明升体育app下载客户和评估者社区为这一合作努力作出贡献.

软件安全框架

正如在整个会议的几次发言中所述, 应用程序开发中的安全角色必须继续发展. 对更复杂的应用程序的需求在更快的时间框架内交付，这给组织和他们的开发人员带来了非常熟悉的挑战，即平衡可用性和安全性. 添加严格的安全控制, 可以理解的是，组织在满足客户的需求和他们的合规义务方面会遇到困难.

根据会议的主题, 一种涉及开发和安全代表的协作方法——一种新的“DevSecOps”范例——被提出，以在整个开发过程中嵌入安全. 这不仅涉及文档化的过程，而且, 同样重要的是, 培训开发人员进行安全编码实践. 持续的发展, 持续集成(CD:CI)环境, 提出了“向左移动”或自动化软件更改的概念. 向左移动的目的是自动化应用程序更改和相关的职责分离，以最小化与这些元素相关的人工交互和固有的安全风险.

委员会显然已经注意到针对支付应用的攻击的上升, 特别是基于网络的支付应用程序, 并决心为安全的开发程序补充现有的决策支持系统需求. 其结果就是即将发布的软件安全框架, 哪些旨在增强组织现有的软件开发生命周期计划. 该框架将由安全软件标准和安全软件生命周期标准组成. 像其他标准, 这些将包括需求模块和, 最终, 将作为新的应用程序验证程序的框架. 目前的PA-DSS验证程序将被弃用，新的验证将在2020年后停止.

直到现在, 在整个软件开发生命周期中包含安全性的需求(需求6.3)关注的是预防什么，而不是如何预防. 将于2018年第四季度出版, PCI软件安全框架对于需要使应用程序安全所涉及的人员和过程成熟的组织来说是一个有价值的工具, 除了应用程序本身.

LBMC信息安全团队是美国任期最长、规模最大的PCI评估人员之一. 如果你的组织正在考虑进行PCI评估， 明升体育app下载 学习我们如何提供帮助.