Nota: non è un QSA, ma solo dell'esperienza PCI
Il Requisito a cui sei interessato è 6 - "Sviluppa e mantieni sistemi e applicazioni sicuri"
La risposta breve è no - non puoi essere compatibile con la documentazione di vulnerabilità e correzione dei bug. È necessario documentare le politiche per (probabilmente non un elenco completo):
- procedure per la ricerca di vulnerabilità
- procedure di valutazione della vulnerabilità
- valutazione delle informazioni sulla vulnerabilità (ad esempio, di chi ti fidi delle vulnerabilità)
- patching di terze parti - vale a dire che applicate le patch di sicurezza in un intervallo di tempo appropriato
- che hai processi di sviluppo "standard di settore" (questo non è prescrittivo per quanto riguarda ciò di cui hai bisogno, ma devi dimostrare di avere uno standard almeno informativo come scrum o pmbok o kanban o cosa hai )
- che la sicurezza delle informazioni è inclusa nell'intero ciclo di vita (in pratica, ti preoccupi della sicurezza in fase di progettazione, al momento dell'implementazione, al momento del collaudo, in fase di implementazione e durante la manutenzione / l'utilizzo del software)
- che tutti questi processi e queste politiche sono scritte e conosciute da tutti gli sviluppatori
- di avere una politica per impedire che gli account di sviluppo e i dati raggiungano il prodotto
- che hai una politica per assicurarti che una persona non possa scrivere e promuovere il codice (deve avere due set di occhi per ogni modifica)
- di avere una politica che assicuri che la revisione del codice verifichi che tutto il codice soddisfi le linee guida per la codifica sicura
- tale gestione esamina gli elementi di revisione del codice e firma che è stata effettuata una revisione appropriata
- che gli ambienti di sviluppo e test sono diversi dalla produzione, con controlli di accesso separati
- che le informazioni controllate dalla produzione non sono utilizzate nello sviluppo
- i controlli di modifica del software sono robusti e documentati
- che le modifiche sono reversibili
- che tutti gli sviluppatori comprendono / sono stati addestrati sulle mitigazioni di Top Ten OWASP e su altre tecniche / informazioni di codice di sicurezza standard
- che esegui regolarmente la scansione di applicazioni Web pubbliche con il software di scansione
Wow. Ha avuto più tempo di quanto mi aspettassi.
TLDR; no - devi fare molto di più che documentare il bug e il fixing delle vulnerabilità.