Développer et gérer des systèmes et des applications sécurisés
Le chapitre 6 du standard PCI DSS apporte un éclairage sur le fait que des individus sans scrupules peuvent exploiter les points faibles de la sécurité des applications pour obtenir un accès privilégiés à celles-ci.Le standard PCI DSS version 3.0 apporte pas mal de clarification sur l’interprétation et le fait que de nombreux correctifs résolvent un grand nombre de vulnérabilités de la part des éditeurs. Un accent est mis sur le fait de les installés dès que possible.
Le tableau ci-dessous montre les différences entre le standard PCI DSS 2.0 et la version 3.0.
| Exigence PCI DSS 2.0 | Exigence PCI DSS 3.0 | Type de modification | Description de la modification |
|---|---|---|---|
| 6.2 | 6.1 | Clarification | Inversement de l'ordre des exigences 6.1 et 6.2. L'exigence 6.1 est désormais pour l'identification et la classification des risques des nouvelles vulnérabilités. La 6.2 est pour la correction de la vulnérabilité critiques. Éclairage de la manière avec laquelle le processus de classification des risques (6.1) s'aligne avec le processus de correctif (6.2). |
| 6.1 | 6.2 | Clarification | Voir l’explication ci-dessus. Cette condition s'applique à tous les correctifs applicables. |
| 6.3 | 6.3 | Clarification | Ajout d'une note sur le fait que la condition de processus écrits s'applique à tous les logiciels développés à l'interne et aux logiciels sur mesure. |
| 6.3.1 | 6.3.1 | Clarification | Modification de la "pré-production" pour le développement/test afin d'éclairer le but de l'exigence. |
| 6.4 | 6.4 | Clarification | Amélioration des procédures de test pour inclure les analyses de documents pour l'ensemble des exigences 6.4.1 à 6.4.4. |
| 6.4.1 | 6.4.1 | Clarification | Alignement de la terminologie entre l'exigence et les procédures de test afin d'apporter l'éclairage sur le fait que la séparation des environnements de productions/développement est appliqué à l'aide de contrôles d'accès. |
| 6.5 | 6.5 | Clarification | Mise à jour de la formation des développeurs pour inclure les méthodes permettant d'éviter les vulnérabilités de codage usuelles et comprendre comment les techniques de codage répondent aux vulnérabilités. |
| 6.5.x | 6.5.x | Clarification | Mise à jour des exigences pour refléter les directives actuelles en matière d'émergence des vulnérabilités de codage et de sécurisation de codage. Procédures de test mises à jour pour clarifier comment les techniques de codages répondent aux vulnérabilités. |
| 6.5.10 | Évolution de l’exigence | Cette nouvelle exigence pour les pratiques du codage assurent la protection contre la rupture dans la gestion des authentifications et des sessions. Entrée en vigueur : 1er Juillet 2015 | |
| 6.6 | 6.6 | Clarification | Meilleure flexibilité grâce à la spécification d'une solution technique automatisée qui détecte et empêche les attaques basé sur Internet plutôt que les firwalls d'applications Web (WAF). Attention cette exigence est différente des scans de vulnérabilité requis en 11.2 . |
Enjoy 🙂
