行业认证标准:PCI DSS - 支付卡行业数据安全标准
什么是PCI DSS合规性?
支付卡行业数据安全标准(PCI DSS)
创建PCI DSS的目的是提高信用卡、借记卡和现金卡交易的安全性,并保护持卡人数据免于滥用其个人信息。它是开发健壮的支付卡数据安全过程所需的可行编码框架,其中包括预防、检测以及对卡安全事件和隐私威胁的适当反应。PCI DSS包含12条对安全使用信用卡信息至关重要的要求,而要求6则着重解决软件开发过程中的常见编码漏洞。
通过静态分析加强PCI DSS的合规性
与任何其他源代码分析工具相比,Parasoft的静态分析解决方案对Requirement 6的支持更多,从而通过从一开始就通过实施安全性来帮助团队实现符合PCI标准的DevSecOps,并提供了一套全面的静态分析检查器来帮助发现安全漏洞。以及实施安全的软件工程标准来强化您的应用程序。(点击观看视频)
如何Parasoft如何帮助实现PCI DSS合规性
Parasoft用户可以利用Parasoft的Java和.NET静态代码分析产品来降低实现PCI DSS合规性的成本,并节省时间和精力。保护持卡人数据从未如此快捷。
PCI DSS****的即用型静态分析配置
与行业中的其他静态分析供应商不同,Parasoft提供了现成的策略/测试配置,这些配置是完全可配置的,可以从IDE内部通过CI/CD流程执行,以帮助快速定位软件中较早的漏洞。开发过程。
PCI DSS****指导和培训
Parasoft在支持PCI DSS合规性方面超越了其他静态分析系统。Parasoft用户可以在开发人员的IDE中获得有关如何修复漏洞的指导,并获得支持的文档和培训材料以实现PCI数据安全标准。
PCI DSS****符合性状态
对于管理、报告、审核和对整个团队的持续反馈,Parasoft的无与伦比的实时反馈通过提供具有PCI DSS风险评估框架的交互式合规仪表板、小部件和报告,为用户提供了在仪表板本身内实施的PCI DSS合规状态的连续视图。
PCI数据安全标准:高级概述
PCI DSS包含12条策略要求,这些要求对于安全使用信用卡信息至关重要,所有这些要求均旨在满足某些付款安全目标。Parasoft支持合规性以满足要求6。
| 目标 | PCI DSS****要求 |
|---|---|
| 建立和维护安全网络 | 1.安装和维护防火墙配置以保护持卡人数据 2.不要将供应商提供的默认值用于系统密码和其他安全参数 |
| 保护持卡人数据 | 3.保护存储的持卡人数据 4.加密持卡人数据在开放式公共网络中的传输 |
| 维护漏洞管理程序 | 5.使用并定期更新防病毒软件或程序 6.开发和维护安全的系统和应用程序 |
| 实施强有力的访问控制措施 | 7.根据业务需要限制对持卡人数据的访问 8.为具有计算机访问权限的每个人分配唯一的ID 9.限制对持卡人数据的物理访问 |
| 定期监视和测试网络 | 10.跟踪和监视对网络资源和持卡人数据的所有访问 11.定期测试安全系统和流程 |
| 维护信息安全策略 | 12.维护解决员工和承包商信息安全的策略 |
PCI DSS要求6:开发和维护安全的系统和应用程序
| 6.1 | 建立识别PCI安全漏洞并分配风险等级的流程 |
|---|---|
| 6.2 | 保护所有系统组件和软件免受已知漏洞的影响 |
| 6.3 | 根据PCI DSS和行业标准开发安全应用程序,并在整个SDLC中纳入安全性 |
| 6.4 | 遵循变更控制过程和程序以对系统组件进行所有变更 |
| 6.5 | 解决软件开发过程中的常见编码漏洞 |
| 6.6 | 对于面向公众的Web应用程序,持续解决新的威胁和漏洞 |
PCI DSS要求6:第6.5.1-10节
在PCI DSS要求6中,6.5特别重要,因为它要求“至少每年对开发人员进行最新的安全编码技术培训,包括如何避免常见的编码漏洞”,以及“基于安全编码准则开发应用程序”的要求。
PCI DSS要求进一步细分为6.5的以下小节,Parasoft全面支持这些小节:
6.5.1注入缺陷,特别是SQL注入。还应考虑OS Command Injection,LDAP和XPath注入缺陷以及其他注入缺陷
6.5.2缓冲区溢出
6.5.3不安全的密码存储
6.5.4通信不安全
6.5.5错误处理
6.5.6在漏洞识别过程中识别出的所有“高风险”漏洞(如PCI DSS要求6.1中所定义)。
6.5.7跨站点脚本(XSS)
6.5.8访问控制不当(例如不安全的直接对象引用、无法限制URL访问、目录遍历以及无法限制用户访问功能)。
6.5.9跨站点请求伪造(CSRF)
6.5.10身份验证和会话管理中断