Организация PCI Security Standards Council, отвечающая за стандарты информационной безопасности для индустрии платежных карт, объявила о планах по утверждению набора рекомендаций, разработанных в компании VISA, в качестве нового стандарта защиты информации для программного обеспечения, используемого при приеме и обработке платежей.
Стандарт получил название Payment Application Data Security Standard (PA-DSS). На протяжение предстоящих нескольких месяцев PCI Security Standards Council будет принимать комментарии к PA-DSS от организаций-участников, аудиторов безопасности и поставщиков средств сканирования ПО на уязвимости. Финальную версию стандарта планируется опубликовать в I квартале 2008 года.
Спецификация PA-DSS создана для платежных приложений сторонней разработки, используемых торговыми и другими компаниями, принимающими транзакции по платежным картам. Многие из таких приложений устарели, и не имеют средств контроля безопасности, обязательных согласно стандартам PCI на защиту данных. Так например, устаревшие приложения зачастую по умолчанию сохраняют некоторую информацию о держателях карты, что в соответствии с рекомендациями PCI строго запрещено. Кроме того, в таких приложениях не всегда присутствуют средства протоколирования транзакций, необходимые согласно требованиям PCI.