行业认证标准：PCI DSS - 支付卡行业数据安全标准

什么是PCI DSS合规性？

支付卡行业数据安全标准（PCI DSS）

创建PCI DSS的目的是提高信用卡、借记卡和现金卡交易的安全性，并保护持卡人数据免于滥用其个人信息。它是开发健壮的支付卡数据安全过程所需的可行编码框架，其中包括预防、检测以及对卡安全事件和隐私威胁的适当反应。PCI DSS包含12条对安全使用信用卡信息至关重要的要求，而要求6则着重解决软件开发过程中的常见编码漏洞。

通过静态分析加强PCI DSS的合规性

与任何其他源代码分析工具相比，Parasoft的静态分析解决方案对Requirement 6的支持更多，从而通过从一开始就通过实施安全性来帮助团队实现符合PCI标准的DevSecOps，并提供了一套全面的静态分析检查器来帮助发现安全漏洞。以及实施安全的软件工程标准来强化您的应用程序。（点击观看视频）

 

如何Parasoft如何帮助实现PCI DSS合规性

Parasoft用户可以利用Parasoft的Java和.NET静态代码分析产品来降低实现PCI DSS合规性的成本，并节省时间和精力。保护持卡人数据从未如此快捷。

PCI DSS的即用型静态分析配置

与行业中的其他静态分析供应商不同，Parasoft提供了现成的策略/测试配置，这些配置是完全可配置的，可以从IDE内部通过CI/CD流程执行，以帮助快速定位软件中较早的漏洞。开发过程。

PCI DSS指导和培训

Parasoft在支持PCI DSS合规性方面超越了其他静态分析系统。Parasoft用户可以在开发人员的IDE中获得有关如何修复漏洞的指导，并获得支持的文档和培训材料以实现PCI数据安全标准。

PCI DSS符合性状态

对于管理、报告、审核和对整个团队的持续反馈，Parasoft的无与伦比的实时反馈通过提供具有PCI DSS风险评估框架的交互式合规仪表板、小部件和报告，为用户提供了在仪表板本身内实施的PCI DSS合规状态的连续视图。

 

PCI数据安全标准：高级概述

PCI DSS包含12条策略要求，这些要求对于安全使用信用卡信息至关重要，所有这些要求均旨在满足某些付款安全目标。Parasoft支持合规性以满足要求6。

目标	PCI DSS要求
建立和维护安全网络	1.安装和维护防火墙配置以保护持卡人数据 2.不要将供应商提供的默认值用于系统密码和其他安全参数
保护持卡人数据	3.保护存储的持卡人数据 4.加密持卡人数据在开放式公共网络中的传输
维护漏洞管理程序	5.使用并定期更新防病毒软件或程序 6.开发和维护安全的系统和应用程序
实施强有力的访问控制措施	7.根据业务需要限制对持卡人数据的访问 8.为具有计算机访问权限的每个人分配唯一的ID 9.限制对持卡人数据的物理访问
定期监视和测试网络	10.跟踪和监视对网络资源和持卡人数据的所有访问 11.定期测试安全系统和流程
维护信息安全策略	12.维护解决员工和承包商信息安全的策略

 

PCI DSS要求6：开发和维护安全的系统和应用程序

6.1	建立识别PCI安全漏洞并分配风险等级的流程
6.2	保护所有系统组件和软件免受已知漏洞的影响
6.3	根据PCI DSS和行业标准开发安全应用程序，并在整个SDLC中纳入安全性
6.4	遵循变更控制过程和程序以对系统组件进行所有变更
6.5	解决软件开发过程中的常见编码漏洞
6.6	对于面向公众的Web应用程序，持续解决新的威胁和漏洞

 

PCI DSS要求6：第6.5.1-10节

在PCI DSS要求6中，6.5特别重要，因为它要求“至少每年对开发人员进行最新的安全编码技术培训，包括如何避免常见的编码漏洞”，以及“基于安全编码准则开发应用程序”的要求。

PCI DSS要求进一步细分为6.5的以下小节，Parasoft全面支持这些小节：

• 6.5.1注入缺陷，特别是SQL注入。还应考虑OS Command Injection，LDAP和XPath注入缺陷以及其他注入缺陷

• 6.5.2缓冲区溢出

• 6.5.3不安全的密码存储

• 6.5.4通信不安全

• 6.5.5错误处理

• 6.5.6在漏洞识别过程中识别出的所有“高风险”漏洞（如PCI DSS要求6.1中所定义）。

• 6.5.7跨站点脚本（XSS）

• 6.5.8访问控制不当（例如不安全的直接对象引用、无法限制URL访问、目录遍历以及无法限制用户访问功能）。

• 6.5.9跨站点请求伪造（CSRF）

• 6.5.10身份验证和会话管理中断