Para errores críticos, la Guía de referencia rápida de PCI DSS 3.1 cubre esto en términos claros:
6.2: Proteja todos los componentes del sistema y el software de las vulnerabilidades conocidas mediante la instalación de los parches de seguridad aplicables suministrados por el proveedor. Instale parches de seguridad críticos dentro del mes siguiente a la publicación.
Esto se refleja en la documentación oficial de PCI DSS 3.2 (No podría t encuentra un PDF v3.1) que dice exactamente lo mismo:
6.2 : asegúrese de que todos los componentes del sistema y el software estén protegidos contra vulnerabilidades conocidas mediante la instalación de los parches de seguridad aplicables suministrados por el proveedor. Instale parches de seguridad críticos dentro del mes siguiente a la publicación.
Nota: los parches de seguridad críticos deben identificarse de acuerdo con el proceso de clasificación de riesgos definido en el Requisito 6.1.
Para ahorrarle una lectura prolongada, el TL; DR del requisito 6.1 es que la criticidad debe medirse en función de los puntajes CVSS proporcionados por la industria, amplificados por factores comerciales.
En términos más generales, la cuestión de si están o no en violación de PCI DSS cuando están ejecutando software obsoleto y vulnerable depende de la decisión de su QSA. Si el error es menor, como un problema de inyección de contenido estático o una divulgación menor de información, entonces el QSA puede considerar apropiado que la organización haya identificado el problema y lo haya colocado en su registro de riesgos para una resolución futura. Si el error es más grave pero no se considera crítico (por ejemplo, XSS reflexivo que requiere la interacción del usuario), el QSA todavía puede considerar esto como una violación de PCI DSS a su discreción.
Con respecto al software EOL, PCI DSS no lo menciona específicamente, sino que simplemente establece que
Todos los sistemas deben tener todos los parches de software adecuados para protegerse contra la explotación y el compromiso de los datos del titular de la tarjeta por parte de personas malintencionadas y software malicioso.
Esto indica que el uso del software EOL se convierte en responsabilidad de la organización que maneja los datos del titular de la tarjeta. Si se encuentra una vulnerabilidad en la aplicación, es responsabilidad de la organización mitigar esto. Esto puede requerir que parcheen manualmente la aplicación (difícil, costoso), proporcionen controles secundarios (por ejemplo, colocando la aplicación en un entorno de contenedor aislado como XenApp), o reemplacen el software por completo.
Para obtener más información, le sugiero que lea la documentación de PCI DSS por sí mismo. Es un documento bastante largo, pero puede saltar a las secciones correspondientes a sus inquietudes y el idioma es bastante claro y legible. También tenga en cuenta que PCI DSS es un estándar diseñado solo para fomentar prácticas de seguridad razonables en el manejo de datos de tarjetas de pago; no es una receta de seguridad sólida por sí solo, por lo que no cumple con "PCI". no significa necesariamente "seguro".