支付卡行业安全标准委员会（PCI SSC）日前发布交互终端设备（POI）软件安全开发和维护指南。

　　POI设备是指运行在POS设备上的软件或硬件组件，如密码键盘，使消费者可以使用信用卡实现支付。PCI SSC称，该指南针对POI设备上的软件，包括支付和非支付应用，并着重加强了安全分级方法。发布该指南的目的是确保POI设备供应商以及软件开发机构了解潜在威胁，并在整个开发生命周期中采取适当措施应对威胁。目前，针对POS设备的网络犯罪正在增长，其攻击目标不只是零售商，也包括POS设备供应商。PCI SSC首席技术官特洛伊·利奇表示：“犯罪分子试图从支付交易的各方面寻找窃取数据的途径。随着第三方应用复杂程度不断增长，以及消费者和商家对此越来越依赖，犯罪分子得逞的机会也因此增加，因此POS设备软件的不断完善变得非常关键。”

　　PCI SSC称，企业可以参照该指南来帮助确保标准安全编码实践，具体包括：安全软件开发所需的安全意识培训、安全软件开发生命周期、设备级测试以及内部复查。