PCI DSS

Conformité PCI DSS avec Parasoft

Qu'est-ce que la conformité PCI DSS?

Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)

La norme PCI DSS a été créée pour renforcer la sécurité des transactions par carte de crédit, de débit et de paiement et protéger les données des titulaires de carte contre l'utilisation abusive de leurs informations personnelles. Il s'agit d'un cadre de codage exploitable requis pour développer un processus de sécurité des données de carte de paiement robuste, qui comprend la prévention, la détection et la réaction appropriée aux incidents de sécurité des cartes et aux menaces à la vie privée. La norme PCI DSS comprend 12 exigences essentielles pour une utilisation sûre des informations de carte de crédit, et l'exigence 6 se concentre sur la résolution des vulnérabilités de codage courantes dans les processus de développement de logiciels.

Application de la conformité PCI DSS avec l'analyse statique

Les solutions d'analyse statique de Parasoft fournir plus de support pour l'exigence 6 que tout autre outil d'analyse de code source, aidant les équipes à atteindre DevSecOps conformément aux normes PCI en appliquant la sécurité dès le début du développement, avec un ensemble complet de vérificateurs d'analyse statique qui aident à trouver les faiblesses de sécurité ainsi qu'à appliquer normes d'ingénierie logicielle sécurisées pour renforcer votre application.

Comment Parasoft aide à atteindre la conformité PCI DSS

Les utilisateurs de Parasoft peuvent tirer parti des produits d'analyse de code statique de Parasoft pour Java et .NET pour réduire le coût de mise en conformité PCI DSS et gagner du temps et des efforts. La protection des données des titulaires de carte n'a jamais été aussi rapide.

Configurations d'analyse statique prêtes à l'emploi pour PCI DSS

Contrairement à d'autres fournisseurs d'analyses statiques du secteur, Parasoft fournit des configurations de politique / test prêtes à l'emploi qui sont entièrement configurables et peuvent être exécutées à partir de l'EDI et via le processus CI / CD pour aider à localiser rapidement les vulnérabilités plus tôt dans le logiciel. processus de développement.

Conseils et formation PCI DSS

Parasoft va au-delà des autres systèmes d'analyse statique à l'appui de la conformité PCI DSS. Les utilisateurs de Parasoft reçoivent des conseils, directement dans l'EDI du développeur, sur la façon de corriger les vulnérabilités, avec une documentation prise en charge et du matériel de formation pour atteindre les normes de sécurité des données PCI.

État de conformité PCI DSS

Pour la gestion, le reporting, l'audit et le retour d'information continu à toute l'équipe, le retour d'information en temps réel inégalé de Parasoft offre aux utilisateurs une vue continue de l'état de conformité PCI DSS, en fournissant des tableaux de bord de conformité interactifs, des widgets et des rapports qui ont le cadre d'évaluation des risques PCI DSS mis en œuvre directement dans le tableau de bord lui-même.

La norme PCI DSS comprend 12 exigences de politique essentielles pour une utilisation sûre des informations de carte de crédit, toutes conçues pour répondre à certains objectifs de sécurité des paiements. Parasoft soutient la conformité en respectant l'exigence 6.

Objectifs Exigences PCI DSS
Construire et maintenir un réseau sécurisé 1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte

2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité.

Protéger les données des titulaires de carte 3. Protéger les données de titulaires de carte stockées

4. Crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts

Maintenir un programme de gestion des vulnérabilités 5. Utiliser et mettre à jour régulièrement des logiciels ou programmes antivirus

6. Développer et maintenir des systèmes et des applications sécurisés

Mettre en œuvre des mesures de contrôle d'accès strictes 7. Restreindre l'accès aux données des titulaires de carte aux besoins de l'entreprise

8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur

9. Restreindre l'accès physique aux données des titulaires de carte

Surveiller et tester régulièrement les réseaux 10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte

11. Tester régulièrement les systèmes et processus de sécurité

Maintenir une politique de sécurité de l'information 12. Maintenir une politique qui traite de la sécurité des informations pour les employés et les sous-traitants

6.1 Établir un processus pour identifier les vulnérabilités de sécurité PCI et attribuer un classement des risques
6.2 Protégez tous les composants du système et les logiciels des vulnérabilités connues
6.3 Développer des applications sécurisées conformément aux normes PCI DSS et de l'industrie, et intégrer la sécurité dans tout le SDLC
6.4 Suivre les processus et procédures de contrôle des modifications pour toutes les modifications apportées aux composants du système
6.5 Résoudre les vulnérabilités de codage courantes dans les processus de développement de logiciels
6.6 Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue

Dans l'exigence 6 de la norme PCI DSS 6.5, XNUMX est particulièrement critique car elle énonce l'obligation de «former les développeurs au moins une fois par an à des techniques de codage sécurisé à jour, y compris comment éviter les vulnérabilités de codage courantes» et de «développer des applications basées sur des directives de codage sécurisé . »

Les exigences PCI DSS sont ensuite divisées en ces sous-sections de 6.5, que Parasoft prend en charge dans son intégralité:

  • 6.5.1 Failles d'injection, en particulier injection SQL. Tenez également compte des défauts d'injection de commande OS, d'injection LDAP et XPath ainsi que d'autres défauts d'injection
  • 6.5.2 Débordements de tampon
  • 6.5.3 Stockage cryptographique non sécurisé
  • 6.5.4 Communications non sécurisées
  • 6.5.5 Traitement incorrect des erreurs
  • 6.5.6 Toutes les vulnérabilités «à haut risque» identifiées dans le processus d'identification des vulnérabilités (telles que définies dans l'exigence 6.1 de la norme PCI DSS).
  • 6.5.7 Scripts intersites (XSS)
  • 6.5.8 Contrôle d'accès incorrect (comme les références d'objets directes non sécurisées, l'échec de la restriction de l'accès URL, la traversée de répertoire et l'échec de la restriction de l'accès des utilisateurs aux fonctions).
  • 6.5.9 Falsification de demande intersite (CSRF)
  • 6.5.10 Authentification et gestion de session interrompues