Webinaire à la demande en vedette : Accélérez la conformité des logiciels grâce à l'IA Regardez maintenant >>
La norme PCI DSS a été créée pour renforcer la sécurité des transactions par carte de crédit, de débit et de paiement et protéger les données des titulaires de carte contre l'utilisation abusive de leurs informations personnelles. Il s'agit d'un cadre de codage exploitable requis pour développer un processus de sécurité des données de carte de paiement robuste, qui comprend la prévention, la détection et la réaction appropriée aux incidents de sécurité des cartes et aux menaces à la vie privée. La norme PCI DSS comprend 12 exigences essentielles pour une utilisation sûre des informations de carte de crédit, et l'exigence 6 se concentre sur la résolution des vulnérabilités de codage courantes dans les processus de développement de logiciels.
Les solutions d'analyse statique de Parasoft fournir plus de support pour l'exigence 6 que tout autre outil d'analyse de code source, aidant les équipes à atteindre DevSecOps conformément aux normes PCI en appliquant la sécurité dès le début du développement, avec un ensemble complet de vérificateurs d'analyse statique qui aident à trouver les faiblesses de sécurité ainsi qu'à appliquer normes d'ingénierie logicielle sécurisées pour renforcer votre application.
Les utilisateurs de Parasoft peuvent tirer parti des produits d'analyse de code statique de Parasoft pour Java et .NET pour réduire le coût de mise en conformité PCI DSS et gagner du temps et des efforts. La protection des données des titulaires de carte n'a jamais été aussi rapide.
Contrairement à d'autres fournisseurs d'analyses statiques du secteur, Parasoft fournit des configurations de politique / test prêtes à l'emploi qui sont entièrement configurables et peuvent être exécutées à partir de l'EDI et via le processus CI / CD pour aider à localiser rapidement les vulnérabilités plus tôt dans le logiciel. processus de développement.
Parasoft va au-delà des autres systèmes d'analyse statique à l'appui de la conformité PCI DSS. Les utilisateurs de Parasoft reçoivent des conseils, directement dans l'EDI du développeur, sur la façon de corriger les vulnérabilités, avec une documentation prise en charge et du matériel de formation pour atteindre les normes de sécurité des données PCI.
Pour la gestion, le reporting, l'audit et le retour d'information continu à toute l'équipe, le retour d'information en temps réel inégalé de Parasoft offre aux utilisateurs une vue continue de l'état de conformité PCI DSS, en fournissant des tableaux de bord de conformité interactifs, des widgets et des rapports qui ont le cadre d'évaluation des risques PCI DSS mis en œuvre directement dans le tableau de bord lui-même.
La norme PCI DSS comprend 12 exigences de politique essentielles pour une utilisation sûre des informations de carte de crédit, toutes conçues pour répondre à certains objectifs de sécurité des paiements. Parasoft soutient la conformité en respectant l'exigence 6.
| Objectifs | Exigences PCI DSS |
|---|---|
| Construire et maintenir un réseau sécurisé | 1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte
2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité. |
| Protéger les données des titulaires de carte | 3. Protéger les données de titulaires de carte stockées
4. Crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts |
| Maintenir un programme de gestion des vulnérabilités | 5. Utiliser et mettre à jour régulièrement des logiciels ou programmes antivirus
6. Développer et maintenir des systèmes et des applications sécurisés |
| Mettre en œuvre des mesures de contrôle d'accès strictes | 7. Restreindre l'accès aux données des titulaires de carte aux besoins de l'entreprise
8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur 9. Restreindre l'accès physique aux données des titulaires de carte |
| Surveiller et tester régulièrement les réseaux | 10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte
11. Tester régulièrement les systèmes et processus de sécurité |
| Maintenir une politique de sécurité de l'information | 12. Maintenir une politique qui traite de la sécurité des informations pour les employés et les sous-traitants |
| 6.1 | Établir un processus pour identifier les vulnérabilités de sécurité PCI et attribuer un classement des risques |
| 6.2 | Protégez tous les composants du système et les logiciels des vulnérabilités connues |
| 6.3 | Développer des applications sécurisées conformément aux normes PCI DSS et de l'industrie, et intégrer la sécurité dans tout le SDLC |
| 6.4 | Suivre les processus et procédures de contrôle des modifications pour toutes les modifications apportées aux composants du système |
| 6.5 | Résoudre les vulnérabilités de codage courantes dans les processus de développement de logiciels |
| 6.6 | Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue |
Dans l'exigence 6 de la norme PCI DSS 6.5, XNUMX est particulièrement critique car elle énonce l'obligation de «former les développeurs au moins une fois par an à des techniques de codage sécurisé à jour, y compris comment éviter les vulnérabilités de codage courantes» et de «développer des applications basées sur des directives de codage sécurisé . »
Les exigences PCI DSS sont ensuite divisées en ces sous-sections de 6.5, que Parasoft prend en charge dans son intégralité:
