合规系列：软件、服务安全和 PCI DSS/PA-DSS

合规系列的这篇文章着眼于介绍微软安全开发生命周期（SDL）是如何帮助企业在金融机构的支付卡行业数据安全标准（PCI DSS）和支付应用数据安全标准（PA-DSS）下达到合规性要求的。

PCI DSS 是一项由 PCI 安全标准委员会（PCI SSC）撰写并批准的业界公认的信息安全标准。它主要适用于企业在美国国内处理借记卡、信用卡、预付费、电子钱包、自动取款机（ATM）和销售点（POS）卡持卡人信息的行为。该标准是围绕着加强对持卡人数据的管控，以帮助减少信用卡欺诈行为而设立的。

PA-DSS 也是一项由 PCI SSC 设立的全球性标准。 PA-DSS 旨在为开发支付应用的软件、服务开发人员提供一个权威标准。该标准的目的是防止应用程序存储被禁止存储的数据（例如信用卡磁条信息）。

PCI DSS 中的一些要求与 SDL 的做法非常一致。此外，PA-DSS 也采用了类 SDL 的对执照或分布式第三方应用的控制方法。

微软在2011年发表了一份题为“ SDL 和 PCI DSS/PA-DSS ”的白皮书，以帮助企业决策者、系统集成商和软件开发人员了解合规性活动与 SDL 的做法相结合的切实可行办法，以帮助他们实现在时间、资源或流程上的高效化。在过去的两年中，PCI SSC 标准仍在持续发展，而该白皮书也仍然保持着高相关性。金融业的最新措施是加强对可靠安全开发框架的需求以集中资源提高应用程序安全。

SDL 的做法可以被用来开发需符合 PCI DSS/PCI PA-DSS 合规性要求的软件或服务，也可以被用来在 PCI 控制系统中整合自定义软件。企业在符合 PCI 规范的环境中编写、整合软件或服务时，不难发现 SDL 作为最好的安全做法，是如何帮助他们满足 PCI DSS 和 PZ-DSS 的要求的。在软件开发过程中应用 SDL 的做法，提供了在某些 PCI 投诉情景下，研究在开发过程中提高软件和服务安全性的一套方法。对于在支付卡环境中应用 SDL 进行开发和整合软件模块，此白皮书极具参考价值。

想了解更多有关软件与合规的信息，请前往微软安全开发生命周期合规中心（Microsoft SDL compliance center）

Tim Rains
部门总监
可信赖计算部