Per i bug critici, la Guida di riferimento rapido PCI DSS 3.1 copre questo senza mezzi termini:
6.2: Protect all system components and software from known vulnerabilities by installing applicable vendor-supplied security patches. Install critical security patches within one month of release.
Questo è speculare nella documentazione ufficiale per PCI DSS 3.2 (I couldn ' trovare un PDF v3.1) che dice esattamente la stessa cosa:
6.2: Ensure that all system components and software are protected from known vulnerabilities by installing applicable vendor-supplied security patches. Install critical security patches within one month of release.
Note: Critical security patches should be identified according to the risk ranking process defined in Requirement 6.1.
Per risparmiare una lettura lunga, il TL; DR del requisito 6.1 è che la criticità deve essere misurata sulla base dei punteggi CVSS forniti dal settore, amplificati da fattori di business.
In termini più generali, la questione se siano o meno violazioni di PCI DSS quando sono in esecuzione software obsoleti e vulnerabili dipende dalla decisione del loro QSA. Se il bug è di lieve entità, ad esempio un problema di static content injection o una minore divulgazione di informazioni, allora il QSA potrebbe ritenere appropriato che l'organizzazione abbia identificato il problema e lo abbia inserito nel proprio registro dei rischi per una futura soluzione. Se l'errore è più grave ma non considerato critico (ad esempio, l'XSS riflettente che richiede l'interazione dell'utente), la QSA potrebbe ancora considerare questa una violazione di PCI DSS a propria discrezione.
Per quanto riguarda il software EOL, PCI DSS non lo menziona in modo specifico, ma afferma semplicemente che
All systems must have all appropriate software patches to protect against the exploitation and compromise of cardholder data by malicious individuals and malicious software.
Questo indica che l'utilizzo del software EOL diventa responsabilità dell'organizzazione che gestisce i dati dei titolari di carta. Se si riscontra una vulnerabilità nell'applicazione, è compito dell'organizzazione mitigarla. Ciò potrebbe richiedere loro di ricucire manualmente l'applicazione (difficile, costosa), fornire controlli secondari (ad esempio collocando l'applicazione in un ambiente contenitore isolato come XenApp), o sostituire completamente il software.
Per ulteriori informazioni, ti suggerisco di dare una lettura della documentazione PCI DSS. È un documento piuttosto lungo, ma puoi saltare alle sezioni applicabili alle tue preoccupazioni e la lingua è abbastanza chiara e leggibile. Ricorda inoltre che PCI DSS è uno standard progettato solo per incoraggiare pratiche di sicurezza sensibili sulla gestione dei dati delle carte di pagamento - non è una ricetta per una strong sicurezza da solo, quindi "conforme PCI" non significa necessariamente "sicuro".