Nota: no es un QSA, solo tiene algo de experiencia con PCI
El requisito en el que está interesado es el 6: "Desarrolle y mantenga sistemas y aplicaciones seguros"
La respuesta corta es no, no puede cumplir solo con la documentación de vulnerabilidad y solución de errores. Debe documentar las políticas para (probablemente no sea una lista completa):
- procedimientos de búsqueda de vulnerabilidad
- procedimientos de evaluación de vulnerabilidad
- evaluación de la información de vulnerabilidad (es decir, en quién confía sobre las vulnerabilidades)
- parches de terceros, es decir, que aplique parches de seguridad en un período de tiempo apropiado
- que tiene procesos de desarrollo "estándar de la industria" (esto no es prescriptivo en cuanto a lo que necesita, pero debe demostrar que tiene un estándar que es al menos tan informativo como scrum o pmbok o kanban o qué tiene )
- que la seguridad de la información se incluye a lo largo del ciclo de vida (básicamente, le preocupa la seguridad en el momento del diseño, en el momento de la implementación, en el momento de la prueba, en el momento del despliegue y durante el mantenimiento / operación del software)
- que todos estos desarrolladores escriben y conocen todos estos procesos y políticas
- que tiene una política para evitar que las cuentas y los datos de dev lleguen a prod.
- que tiene una política para garantizar que una persona no pueda escribir y promover el código (debe tener dos pares de ojos en cada cambio)
- que tiene una política que garantiza que la revisión del código comprueba que todo el código cumple con las pautas de codificación seguras
- que la administración examina los artefactos de revisión de código y firma que se realizó la revisión apropiada
- que los entornos de desarrollo y prueba son diferentes a los de producción, con controles de acceso separados
- que la información controlada de producción no se usa en desarrollo
- que los controles de cambio de software son robustos y están documentados
- que los cambios son reversibles
- que todos los desarrolladores entienden / han recibido capacitación sobre las mitigaciones de los Diez Principales de OWASP y otras técnicas / información de código seguro estándar
- que escaneas aplicaciones web públicas con regularidad con el software de escaneo
Wow. Eso se hizo más largo de lo que esperaba.
tldr; no, debe hacer mucho más que documentar su corrección de errores y vulnerabilidades.