Want to see Parasoft in action? Sign up for our Monthly Demos! See Demos & Events >>

X
PCI DSS

Parasoft快速满足PCI DSS合规

什么是PCI DSS合规性?

支付卡行业数据安全标准(PCI DSS)

PCI DSS目的是提高信用卡、借记卡和现金卡交易的安全性,并保护持卡人数据,防止其个人信息被滥用。它是一个可操作的编码框架,用于开发强健的支付卡数据安全流程,包括预防、检测和适当应对卡安全事件和隐私威胁。PCI DSS由12项要求组成,这些要求对信用卡信息的安全使用至关重要,并且要求6侧重于解决软件开发过程中常见的编码漏洞。

通过静态分析满足PCI DSS遵从性

Parasoft的静态分析解决方案 为需求6提供了比任何其他源代码分析工具更多的支持,通过从开发一开始就加强代码安全性,帮助团队实现符合PCI标准的DevSecOps,通过一套全面的静态分析检查器,可以帮助您发现安全缺陷,并满足安全的软件工程标准,来强化应用程序。

Parasoft如何帮助您实现PCI DSS合规性

Parasoft用户可以利用Parasoft针对Java和.NET代码的静态代码分析产品,来降低实现PCI DSS法规遵从性的成本,并节省时间和精力。保护持卡人数据的工作将会即刻落地。

PCI DSS的现成静态分析配置

与业界其他静态分析供应商不同,Parasoft提供了开箱即用的策略/测试配置,这些配置是完全可高度自定义的,并且可以从IDE内部并通过CI/CD流程执行,来帮助在软件开发过程的早期快速定位漏洞。

PCI DSS指导和培训

Parasoft完美支持PCI DSS合规性,已经超越了其他静态分析工具,。Parasoft用户可以在开发人员的IDE中获得关于如何修复漏洞的指导,以及支持的文档和培训材料,这些资料都是完全汉化的,可以通过这些帮助快速实现PCI数据安全标准。

PCI DSS合规状态

对于整个团队的管理、报告、审计和持续反馈,Parasoft无与伦比的实时反馈为用户提供了PCI DSS合规状态的持续更新视图,通过提供交互式合规仪表板、小部件和报告,将PCI DSS风险评估框架直接显示在在仪表板内。

PCI DSS 包含12项对安全使用信用卡信息至关重要的政策要求,所有这些要求都旨在满足特定的支付安全目标。Parasoft支持满足要求6的合规性。

目标 PCI DSS要求
建立和维护安全网络 1. 安装并维护防火墙配置以保护持卡人数据

2. 对于系统密码和其他安全方面的密码,不要使用供应商提供的默认值

保护持卡人数据 3. 保护已存储的持卡人数据

4. 加密跨开放公共网络加密持卡人数据传输

维护漏洞管理计划 5. 使用并定期更新防病毒软件或程序

6. 开发和维护安全的系统和应用程序

实施强有力的访问控制措施 7. 按业务需要限制对持卡人数据的访问

8. 为每个有计算机访问权限的人分配一个唯一的ID

9. 限制对持卡人数据的物理访问

定期监控和测试网络 10. 跟踪和监控对网络资源和持卡人数据的所有访问

11. 定期测试安全系统和流程

维护信息安全策略 12. 维护解决员工和承包商信息安全问题的策略

6.1 建立识别PCI安全漏洞的流程并分配风险等级
6.2 保护所有系统组件和软件不受已知漏洞的影响
6.3 根据PCI DSS和行业标准开发安全应用程序,并将安全性纳入整个SDLC
6.4 对于系统组件的所有变更,遵循变更控制流程和程序
6.5 解决软件开发过程中常见的编码漏洞
6.6 对于面向公众的web应用程序,应持续解决新的威胁和漏洞

在PCI DSS要求6中,6.5尤为关键,因为它规定要求“至少每年对开发人员进行一次最新安全编码技术培训,包括如何避免常见的编码漏洞”,以及“根据安全编码指南开发应用程序”。

PCI DSS要求进一步细分为6.5的这些小节,Parasoft完全支持这些小节:

  • 6.5.1 注入缺陷,尤其是SQL注入。还要考虑OS命令注入、LDAP和XPath注入缺陷以及其他注入缺陷
  • 6.5.2 缓冲区溢出
  • 6.5.3 不安全的加密存储
  • 6.5.4 不安全的通信
  • 6.5.5 错误处理不当
  • 6.5.6 在漏洞识别过程中识别的所有“高风险”漏洞(定义见PCI DSS要求6.1)
  • 6.5.7 跨站点脚本(XSS)
  • 6.5.8 不正确的访问控制(例如不安全的直接对象引用、无法限制URL访问、目录遍历以及无法限制用户访问函数)
  • 6.5.9 跨站点请求伪造(CSRF)
  • 6.5.10 身份验证和会话管理中断