X
PCI DSS

Cumplimiento de PCI DSS con Parasoft

¿Qué es el cumplimiento de PCI DSS?

Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)

PCI DSS se creó para aumentar la seguridad de las transacciones con tarjeta de crédito, débito y efectivo, y proteger los datos de los titulares de tarjetas contra el uso indebido de su información personal. Es un marco de codificación procesable necesario para desarrollar un sólido proceso de seguridad de datos de tarjetas de pago, que incluye prevención, detección y reacción adecuada a incidentes de seguridad de tarjetas y amenazas a la privacidad. PCI DSS consta de 12 requisitos que son esenciales para el uso seguro de la información de la tarjeta de crédito, y el requisito 6 se centra en abordar las vulnerabilidades de codificación comunes en los procesos de desarrollo de software.

Aplicación del cumplimiento de PCI DSS con análisis estático

Las soluciones de análisis estático de Parasoft brindan más soporte para el Requisito 6 que cualquier otra herramienta de análisis de código fuente, lo que ayuda a los equipos a lograr DevSecOps de conformidad con los estándares PCI al imponer la seguridad desde el inicio del desarrollo, con un conjunto completo de verificadores de análisis estático que ayudan a encontrar debilidades de seguridad. así como hacer cumplir los estándares de ingeniería de software seguros para fortalecer su aplicación.

Cómo ayuda Parasoft a lograr el cumplimiento de PCI DSS

Los usuarios de Parasoft pueden aprovechar los productos de análisis de código estático de Parasoft para Java y  . NET para reducir el costo de lograr el cumplimiento de PCI DSS y ahorrar tiempo y esfuerzo. La protección de los datos de los titulares de tarjetas nunca ha sido tan rápida.

Configuraciones de análisis estático listas para usar para PCI DSS

A diferencia de otros proveedores de análisis estático en la industria, Parasoft proporciona configuraciones de políticas / pruebas listas para usar que son completamente configurables y se pueden ejecutar desde el IDE y a través del proceso de CI / CD para ayudar a localizar rápidamente las vulnerabilidades antes en el software. proceso de desarrollo.

Orientación y capacitación sobre PCI DSS

Parasoft va más allá de otros sistemas de análisis estático en apoyo del cumplimiento de PCI DSS. Los usuarios de Parasoft reciben orientación, directamente en el IDE del desarrollador, sobre cómo solucionar las vulnerabilidades, con documentación compatible y material de capacitación para lograr los estándares de seguridad de datos de PCI.

Estado de cumplimiento de PCI DSS

Para la gestión, la generación de informes, la auditoría y la retroalimentación continua para todo el equipo, la incomparable retroalimentación en tiempo real de Parasoft brinda a los usuarios una vista continua del estado de cumplimiento de PCI DSS, al proporcionar paneles de control de cumplimiento, widgets e informes interactivos que tienen el marco de evaluación de riesgos de PCI DSS. implementado directamente dentro del panel de control.

PCI DSS consta de 12 requisitos de política que son esenciales para el uso seguro de la información de la tarjeta de crédito, todos diseñados para cumplir con ciertos objetivos de seguridad de pago. Parasoft apoya el cumplimiento en el cumplimiento del Requisito 6.

Objetivos Requisitos de PCI DSS
Construir y mantener una red segura 1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta

2. No utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.

Proteger los datos del titular de la tarjeta 3. Proteja los datos almacenados del titular de la tarjeta

4. Cifrar la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas

Mantener un programa de gestión de vulnerabilidades 5. Utilice y actualice periódicamente software o programas antivirus.

6. Desarrollar y mantener sistemas y aplicaciones seguros.

Implementar medidas fuertes de control de acceso 7. Restringir el acceso a los datos de los titulares de tarjetas según la necesidad de conocer de la empresa.

8. Asigne una identificación única a cada persona con acceso a la computadora.

9. Restringir el acceso físico a los datos del titular de la tarjeta.

Monitoree y pruebe redes regularmente 10. Rastrear y monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta

11. Probar periódicamente los sistemas y procesos de seguridad

Mantener una política de seguridad de la información 12. Mantener una política que aborde la seguridad de la información para empleados y contratistas.

6.1 Establecer un proceso para identificar las vulnerabilidades de seguridad de PCI y asignar una clasificación de riesgo
6.2 Proteja todos los componentes del sistema y el software de vulnerabilidades conocidas
6.3 Desarrolle aplicaciones seguras de acuerdo con PCI DSS y los estándares de la industria, e incorpore seguridad en todo el SDLC
6.4 Siga los procesos y procedimientos de control de cambios para todos los cambios en los componentes del sistema.
6.5 Abordar las vulnerabilidades de codificación comunes en los procesos de desarrollo de software.
6.6 Para las aplicaciones web de cara al público, aborde las nuevas amenazas y vulnerabilidades de forma continua.

Dentro del Requisito 6 de las PCI DSS, 6.5 es particularmente crítico ya que establece el requisito de "capacitar a los desarrolladores al menos una vez al año en técnicas de codificación segura actualizadas, incluida la forma de evitar vulnerabilidades de codificación comunes" y "desarrollar aplicaciones basadas en pautas de codificación segura". . "

Los requisitos de PCI DSS se desglosan en estas subsecciones de 6.5, que Parasoft admite en su totalidad:

  • 6.5.1 Defectos de inyección, particularmente inyección SQL. También considere las fallas de inyección de OS Command Injection, LDAP y XPath, así como otras fallas de inyección
  • 6.5.2 El buffer se desborda
  • 6.5.3 Almacenamiento criptográfico inseguro
  • 6.5.4 Comunicaciones inseguras
  • 6.5.5 Manejo inadecuado de errores
  • 6.5.6 Todas las vulnerabilidades de “alto riesgo” identificadas en el proceso de identificación de vulnerabilidades (como se define en el Requisito 6.1 de las PCI DSS).
  • 6.5.7 Secuencias de comandos entre sitios (XSS)
  • 6.5.8 Control de acceso inadecuado (como referencias de objetos directos inseguras, no restringir el acceso a la URL, cruce de directorios y no restringir el acceso de los usuarios a las funciones).
  • 6.5.9 Falsificación de solicitudes entre sitios (CSRF)
  • 6.5.10 Autenticación y gestión de sesiones rotas

Prueba Parasoft