重要: Secure Code Warriorは、コンプライアンスの専門家やコンサルタントではありません。以下の情報は、2018年5月に発表されたPayment Card Industry (PCI) Data Security Standard (DSS) Requirements and Security Assessment Proceduresに基づいています。
PCI DSSは、カード会員データのセキュリティを奨励・強化し、世界的に一貫したデータセキュリティ対策の幅広い採用を促進するために策定されました。PCI DSSは、アカウントデータを保護するために設計された技術的および運用上の要件の基本水準を提供します。PCI DSS は、加盟店、プロセサー、アクワイアラ、発行者、サービスプロバイダなど、ペイメントカード処理に関与するすべての事業体に適用されます。PCI DSS は、カード会員データ(CHD)および機密認証データ(SAD)を保存、処理、または送信するその他のすべてのエンティティにも適用されます。
要件その6は、安全なシステムとアプリケーションを開発および維持することです。
Secure Code Warrior は、この規格の要件 6.5 を満たすのに役立ちます:「ソフトウェア開発プロセスにおける一般的なコーディングの脆弱性に対処する。
- 一般的なコーディングの脆弱性を回避する方法など、最新のセキュアコーディング技術について、開発者を少なくとも年 1 回トレーニングする。
- セキュアコーディングガイドラインに基づいてアプリケーションを開発する。
監査人のテスト手順には、以下が含まれる:
- ソフトウエア開発の方針及び手順を調査し、業界のベストプラクティス及びガイダンスに基づ いて、セキュアコーディング技術に関する最新のトレーニングが、少なくとも年 1 回、開発者 に義務付けられていることを検証する。
- トレーニングの記録を調査し、ソフトウェア開発者が、一般的なコーディングの脆弱性を回避する方法など、セキュアコーディング技術に関する最新のトレーニングを少なくとも年 1 回受けていることを検証する。
- 最低限、標準の脆弱性リストからアプリケーションを保護するためのプロセスが実施されていることを検証すること。
Secure Code Warrior を使用して、PCI DSS のこのセクションに準拠していることを証明する方法がいくつかあります。
- トーナメントモードを使用し、典型的な OWASP Top 10 脆弱性を使用してチームセッションを実施した。
- トレーニングモードを使用して、開発者に特定の一般的な弱点に焦点を当てさせ、メトリクスレポートを使用して記録を提供した。
- コースモードを使用してカスタム学習経路を構築し、アプリケーション固有の脆弱性に対処することで、組織全体のセキュアなコーディングスキルの向上に役立てた。
- アセスメントモードを使用して、トレーニングの証拠を示すだけでなく、開発者のスキルを評価した証拠も示しました。
コメント
0件のコメント
記事コメントは受け付けていません。