Una società deve seguire alcune metodologie (ad es. Scrum) per essere conformi PCI DSS?

3

Una società deve seguire alcuni metodi di sviluppo (ad es. Scrum) e mantenere i registri del processo di sviluppo (ad esempio spring backlog, backlog di prodotto) per essere conformi?

Può diventare compatibile con solo la documentazione di bug e vulnerabilità?

    
posta roman4ak 06.01.2017 - 14:44
fonte

1 risposta

4

Nota: non è un QSA, ma solo dell'esperienza PCI

Il Requisito a cui sei interessato è 6 - "Sviluppa e mantieni sistemi e applicazioni sicuri"

La risposta breve è no - non puoi essere compatibile con la documentazione di vulnerabilità e correzione dei bug. È necessario documentare le politiche per (probabilmente non un elenco completo):

  • procedure per la ricerca di vulnerabilità
  • procedure di valutazione della vulnerabilità
  • valutazione delle informazioni sulla vulnerabilità (ad esempio, di chi ti fidi delle vulnerabilità)
  • patching di terze parti - vale a dire che applicate le patch di sicurezza in un intervallo di tempo appropriato
  • che hai processi di sviluppo "standard di settore" (questo non è prescrittivo per quanto riguarda ciò di cui hai bisogno, ma devi dimostrare di avere uno standard almeno informativo come scrum o pmbok o kanban o cosa hai )
  • che la sicurezza delle informazioni è inclusa nell'intero ciclo di vita (in pratica, ti preoccupi della sicurezza in fase di progettazione, al momento dell'implementazione, al momento del collaudo, in fase di implementazione e durante la manutenzione / l'utilizzo del software)
  • che tutti questi processi e queste politiche sono scritte e conosciute da tutti gli sviluppatori
  • di avere una politica per impedire che gli account di sviluppo e i dati raggiungano il prodotto
  • che hai una politica per assicurarti che una persona non possa scrivere e promuovere il codice (deve avere due set di occhi per ogni modifica)
  • di avere una politica che assicuri che la revisione del codice verifichi che tutto il codice soddisfi le linee guida per la codifica sicura
  • tale gestione esamina gli elementi di revisione del codice e firma che è stata effettuata una revisione appropriata
  • che gli ambienti di sviluppo e test sono diversi dalla produzione, con controlli di accesso separati
  • che le informazioni controllate dalla produzione non sono utilizzate nello sviluppo
  • i controlli di modifica del software sono robusti e documentati
  • che le modifiche sono reversibili
  • che tutti gli sviluppatori comprendono / sono stati addestrati sulle mitigazioni di Top Ten OWASP e su altre tecniche / informazioni di codice di sicurezza standard
  • che esegui regolarmente la scansione di applicazioni Web pubbliche con il software di scansione

Wow. Ha avuto più tempo di quanto mi aspettassi.

TLDR; no - devi fare molto di più che documentare il bug e il fixing delle vulnerabilità.

    
risposta data 06.01.2017 - 15:16
fonte

Leggi altre domande sui tag