Il PCI Software Security Framework (PCI SSF) definisce un nuovo approccio del PCI SSC per la progettazione e lo sviluppo sicuro delle applicazioni di pagamento, esistenti o future. Derivati dallo standard di sicurezza PCI DSS e dalle relative procedure di audit, i requisiti del PCI SSF mirano a ridurre al minimo il rischio di violazioni che portano alla compromissione dei dati presenti su carte di pagamento, dei codici/valori di sicurezza delle carte, dei PIN e PIN block, nonché di frodi derivanti dalla loro compromissione.

La certificazione PCI SSF può essere ottenuta sia su uno solo che su entrambi i seguenti schemi:

1.      Secure Software Standard (SSS) per il software di pagamento che vuole essere inserito sull’elenco pubblico del PCI SSC.

2.      Secure Software Lifecycle Standard (SSLC) per lo sviluppo di software sicuro.

Il processo di certificazione, stabilito dal PCI SSC, può essere facoltativamente preceduto da un gap analysis utile per fornire indicazioni preziose per il miglioramento delle pratiche di sviluppo del software sicuro eventualmente anche in una prospettiva indipendente dalla stessa certificazione.