Revisiones de escaneo versus códigos manuales
El software interno, construido a medida, está dentro del alcance para el cumplimiento de PCI si se trata de datos PAN. PCI DSS, Requisito 6.6 expresa dos opciones para desarrolladores internos de software que manejan datos PAN: hacer revisiones de código o implementar un firewall de aplicación web (WAF). Por supuesto, especifica la naturaleza de las opciones para las revisiones de código o WAF y los estándares mínimos de cumplimiento al usar cualquiera de las dos opciones.
Por lo tanto, uno puede elegir utilizar la ruta de revisión de código o hacer la ruta del firewall de la aplicación web para lograr el cumplimiento.
Revisiones de código
El PCI DSS establece que hay cuatro opciones disponibles para las revisiones de códigos compatibles:
- Revisión manual del código fuente de la aplicación
- Uso adecuado de las herramientas del analizador de código fuente de la aplicación automatizada (escaneo)
- Evaluación manual de la vulnerabilidad de seguridad de la aplicación web
- Uso adecuado de la evaluación automatizada de vulnerabilidad de seguridad de la aplicación web
(escaneando) herramientas
Por lo tanto, un proceso de revisión 'manual' (que usted describe) es suficiente siempre que cubra los requisitos mencionados más adelante en PCI DSS Sección 6.6. , en particular que lo realiza alguien calificado e incorporado al SDLC.
Por supuesto, uno puede elegir usar una herramienta automatizada también; Siempre y cuando esa herramienta también funcione para satisfacer los requisitos. Muchas organizaciones elegirán utilizar una combinación de revisiones tanto manuales como automatizadas, lo que brindará más seguridad en el mundo real que simplemente ser lo suficientemente bueno para el cumplimiento.
Top 10 de OWASP
La mención de OWASP Top 10 está orientada hacia la segunda opción, los cortafuegos de nivel de aplicación. El PCI DSS establece que, como uno de los requisitos para que un firewall de una aplicación web se considere compatible, debe:
Reaccionar adecuadamente (definido por una política o reglas activas) ante amenazas contra
vulnerabilidades identificadas, como mínimo, en el OWASP Top Ten y / o PCI
Requisito DSS 6.5.
Si está realizando la ruta de revisión del código de la "Opción 1", entonces no necesita preocuparse por el material WAF para mantener el cumplimiento.
Sin embargo, muchas organizaciones elegirán usar tanto las revisiones de código de la "Opción 1" como implementar un firewall de aplicación web, lo que aumentará considerablemente la seguridad de la organización, por lo que las opciones no se excluyen mutuamente. Es solo que la selección de una opción es suficiente, por ahora, para lograr el cumplimiento.
El cumplimiento no siempre significa seguro
Depende de usted determinar si "cumplir" es suficiente o no para ser "seguro" y cuáles son los riesgos de una infracción en su software, y como tal, la cantidad de recursos que se deben invertir para asegurarlos adecuadamente.