Der ASTQ-Gipfel ist am 4. November live! Hören Sie, wie Branchenführer berichten, wie sie kontinuierliche Qualität liefern. Jetzt registrieren "

X
PCI DSS

PCI DSS-Konformität mit Parasoft

Was ist PCI DSS-Konformität?

Branchenstandard für die Datensicherheit der Zahlungskarten (PCI DSS)

PCI DSS wurde entwickelt, um die Sicherheit von Kredit-, Debit- und Geldkartentransaktionen zu erhöhen und Karteninhaberdaten vor Missbrauch ihrer persönlichen Daten zu schützen. Es handelt sich um ein umsetzbares Codierungsframework, das für die Entwicklung eines robusten Datensicherheitsprozesses für Zahlungskarten erforderlich ist. Dazu gehören die Verhinderung, Erkennung und angemessene Reaktion auf Kartensicherheitsvorfälle und Datenschutzbedrohungen. PCI DSS besteht aus 12 Anforderungen, die für die sichere Verwendung von Kreditkarteninformationen unerlässlich sind, und Anforderung 6 konzentriert sich auf die Behebung häufiger Codierungsschwachstellen in Softwareentwicklungsprozessen.

Durchsetzen der PCI-DSS-Konformität mit der statischen Analyse

Die statischen Analyselösungen von Parasoft bieten mehr Unterstützung für Anforderung 6 als jedes andere Quellcode-Analysetool und helfen Teams dabei, DevSecOps in Übereinstimmung mit den PCI-Standards zu erreichen, indem sie die Sicherheit von Anfang an durchsetzen. Dazu gehören umfassende statische Analyseprüfer, mit denen Sicherheitslücken gefunden werden können sowie die Durchsetzung sicherer Software-Engineering-Standards, um Ihre Anwendung zu härten.

Wie Parasoft zur Erreichung der PCI-DSS-Konformität beiträgt

Parasoft-Benutzer können die statischen Code-Analyseprodukte von Parasoft für nutzen Java . .NETZ um die Kosten für die Erreichung der PCI-DSS-Konformität zu senken und Zeit und Mühe zu sparen. Der Schutz von Karteninhaberdaten war noch nie so schnell.

Sofort einsatzbereite statische Analysekonfigurationen für PCI DSS

Im Gegensatz zu anderen Anbietern statischer Analysen in der Branche bietet Parasoft sofort einsatzbereite Richtlinien- / Testkonfigurationen, die vollständig konfigurierbar sind und über die IDE und den CI / CD-Prozess ausgeführt werden können, um Schwachstellen früher in der Software schnell zu lokalisieren Entwicklungsprozess.

PCI DSS Anleitung und Schulung

Parasoft geht über andere statische Analysesysteme hinaus und unterstützt die PCI-DSS-Konformität. Parasoft-Benutzer erhalten direkt in der IDE des Entwicklers Anleitungen zum Beheben der Sicherheitsanfälligkeiten mit unterstützter Dokumentation und Schulungsmaterial zum Erreichen der PCI-Datensicherheitsstandards.

PCI DSS-Konformitätsstatus

Für das Management, die Berichterstellung, die Prüfung und das kontinuierliche Feedback an das gesamte Team bietet das beispiellose Echtzeit-Feedback von Parasoft den Benutzern einen kontinuierlichen Überblick über den PCI DSS-Konformitätsstatus, indem interaktive Compliance-Dashboards, Widgets und Berichte bereitgestellt werden, die über das PCI DSS-Risikobewertungs-Framework verfügen direkt im Dashboard selbst implementiert.

PCI DSS besteht aus 12 Richtlinienanforderungen, die für die sichere Verwendung von Kreditkarteninformationen unerlässlich sind und alle darauf ausgelegt sind, bestimmte Zahlungssicherheitsziele zu erreichen. Parasoft unterstützt die Einhaltung der Anforderungen 6.

Ziele PCI DSS-Anforderungen
Aufbau und Pflege eines sicheren Netzwerks 1. Installieren und pflegen Sie eine Firewall-Konfiguration, um Karteninhaberdaten zu schützen

2. Verwenden Sie keine vom Hersteller bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter

Karteninhaberdaten schützen 3. Schützen Sie gespeicherte Karteninhaberdaten

4. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene öffentliche Netzwerke

Pflegen Sie ein Vulnerability Management-Programm 5. Verwenden Sie Antivirensoftware oder -programme und aktualisieren Sie diese regelmäßig

6. Entwickeln und warten Sie sichere Systeme und Anwendungen

Implementieren Sie strenge Maßnahmen zur Zugangskontrolle 7. Beschränken Sie den Zugriff auf Karteninhaberdaten nach geschäftlichen Anforderungen

8. Weisen Sie jeder Person mit Computerzugriff eine eindeutige ID zu

9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten

Überwachen und testen Sie Netzwerke regelmäßig 10. Verfolgen und überwachen Sie den gesamten Zugriff auf Netzwerkressourcen und Karteninhaberdaten

11. Testen Sie Sicherheitssysteme und -prozesse regelmäßig

Pflegen Sie eine Informationssicherheitsrichtlinie 12. Pflegen Sie eine Richtlinie, die sich mit der Informationssicherheit für Mitarbeiter und Auftragnehmer befasst

6.1 Richten Sie einen Prozess ein, um PCI-Sicherheitslücken zu identifizieren und ein Risikoranking zuzuweisen
6.2 Schützen Sie alle Systemkomponenten und Software vor bekannten Schwachstellen
6.3 Entwickeln Sie sichere Anwendungen gemäß PCI DSS und Industriestandards und integrieren Sie die Sicherheit im gesamten SDLC
6.4 Befolgen Sie die Änderungskontrollprozesse und -verfahren für alle Änderungen an Systemkomponenten
6.5 Beheben Sie häufig auftretende Codierungsschwachstellen in Softwareentwicklungsprozessen
6.6 Behandeln Sie bei öffentlich zugänglichen Webanwendungen ständig neue Bedrohungen und Schwachstellen

In der PCI DSS-Anforderung 6 ist 6.5 besonders wichtig, da darin die Anforderung festgelegt ist, „Entwickler mindestens einmal jährlich in aktuellen sicheren Codierungstechniken zu schulen, einschließlich der Vermeidung häufiger Codierungsschwachstellen“ und „Anwendungen auf der Grundlage sicherer Codierungsrichtlinien zu entwickeln . ”

Die PCI-DSS-Anforderungen sind weiter unterteilt in die folgenden Unterabschnitte von 6.5, die Parasoft vollständig unterstützt:

  • 6.5.1 Injection-Fehler, insbesondere SQL-Injection. Berücksichtigen Sie auch OS Command Injection-, LDAP- und XPath-Injection-Fehler sowie andere Injection-Fehler
  • 6.5.2 Puffer läuft über
  • 6.5.3 Unsicherer kryptografischer Speicher
  • 6.5.4 Unsichere Kommunikation
  • 6.5.5 Unsachgemäße Fehlerbehandlung
  • 6.5.6 Alle Schwachstellen mit hohem Risiko, die im Schwachstellenidentifizierungsprozess identifiziert wurden (wie in PCI DSS-Anforderung 6.1 definiert).
  • 6.5.7 Cross-Site-Scripting (XSS)
  • 6.5.8 Unsachgemäße Zugriffssteuerung (z. B. unsichere direkte Objektreferenzen, Fehler beim Einschränken des URL-Zugriffs, Verzeichnisüberquerung und Fehler beim Einschränken des Benutzerzugriffs auf Funktionen).
  • 6.5.9 Cross-Site Request Forgery (CSRF)
  • 6.5.10 Unterbrochene Authentifizierung und Sitzungsverwaltung