PCI DSS – Chapitre 6 Différences entre la version 2.0 et 3.0

Développer et gérer des systèmes et des applications sécurisés

pci2Le chapitre 6 du standard PCI DSS apporte un éclairage sur le fait que des individus sans scrupules peuvent exploiter les points faibles de la sécurité des applications pour obtenir un accès privilégiés à celles-ci.Le standard PCI DSS version 3.0 apporte pas mal de clarification sur l’interprétation et le fait que de nombreux correctifs résolvent un grand nombre de vulnérabilités de la part des éditeurs. Un accent est mis sur le fait de les installés dès que possible.

Le tableau ci-dessous montre les différences entre le standard PCI DSS 2.0 et la version 3.0.

 

Exigence PCI DSS 2.0Exigence PCI DSS 3.0Type de modificationDescription de la modification
6.26.1ClarificationInversement de l'ordre des exigences 6.1 et 6.2. L'exigence 6.1 est désormais pour l'identification et la classification des risques des nouvelles vulnérabilités. La 6.2 est pour la correction de la vulnérabilité critiques. Éclairage de la manière avec laquelle le processus de classification des risques (6.1) s'aligne avec le processus de correctif (6.2).
6.16.2ClarificationVoir l’explication ci-dessus. Cette condition s'applique à tous les correctifs applicables.
6.36.3ClarificationAjout d'une note sur le fait que la condition de processus écrits s'applique à tous les logiciels développés à l'interne et aux logiciels sur mesure.
6.3.16.3.1ClarificationModification de la "pré-production" pour le développement/test afin d'éclairer le but de l'exigence.
6.46.4ClarificationAmélioration des procédures de test pour inclure les analyses de documents pour l'ensemble des exigences 6.4.1 à 6.4.4.
6.4.16.4.1ClarificationAlignement de la terminologie entre l'exigence et les procédures de test afin d'apporter l'éclairage sur le fait que la séparation des environnements de productions/développement est appliqué à l'aide de contrôles d'accès.
6.56.5ClarificationMise à jour de la formation des développeurs pour inclure les méthodes permettant d'éviter les vulnérabilités de codage usuelles et comprendre comment les techniques de codage répondent aux vulnérabilités.
6.5.x6.5.xClarificationMise à jour des exigences pour refléter les directives actuelles en matière d'émergence des vulnérabilités de codage et de sécurisation de codage. Procédures de test mises à jour pour clarifier comment les techniques de codages répondent aux vulnérabilités.
6.5.10Évolution de l’exigenceCette nouvelle exigence pour les pratiques du codage assurent la protection contre la rupture dans la gestion des authentifications et des sessions. Entrée en vigueur : 1er Juillet 2015
6.66.6ClarificationMeilleure flexibilité grâce à la spécification d'une solution technique automatisée qui détecte et empêche les attaques basé sur Internet plutôt que les firwalls d'applications Web (WAF). Attention cette exigence est différente des scans de vulnérabilité requis en 11.2 .

Enjoy 🙂