PCI DSS 4.0 und SBOM
Interlynk
Der PCI Datensicherheitsstandard (PCI DSS) ist die Garantie, unter der alle modernen Kreditkartentransaktionen stattfinden.
Es ist ein globaler Standard, der eine Grundlage für technische und betriebliche Anforderungen bietet, die darauf ausgelegt sind, Kontodaten zu schützen. Die Anforderungen zielen darauf ab, den gesamten Lebenszyklus einer Kreditkartentransaktion zu sichern, einschließlich Speicherung, Verarbeitung, Übertragung und Zugriff.
Quelle: PCI DSS V4.0 auf einen Blick
Die nächste Evolution von PCI DSS ist Version 4.0, die auf dem Feedback von über 200 Unternehmen basiert. Es hat einige Jahre in der Entwicklung gedauert, mit den klaren Zielen, Sicherheit als kontinuierlichen Prozess, Flexibilität und Verbesserungen in den Validierungsmethoden zu gewährleisten.
PCI DSS v4.0 und SBOM
Quelle: PCI DSS V4.0 auf einen Blick
Version 3.2.1 wurde am 31. März 2023 eingestellt, und die Einhaltung von Version 4.0 fügt 64 neue Anforderungen hinzu.
13 dieser Anforderungen erfordern eine sofortige Einhaltung, und die anderen 51 haben ein Inkrafttretensdatum vom 31. März 2025.
Obwohl der Standard keinen Implementierungsmechanismus beschreibt, sind zwei Anforderungen, die als - Evolving Requirements - bezeichnet werden, am besten für die Einhaltung mit SBOM geeignet.
Anforderung 6.3.2
Zweck
Die Identifizierung und Auflistung aller maßgeschneiderten und individuellen Software des Unternehmens sowie aller Drittanbietersoftware, die in die maßgeschneiderte und individuelle Software des Unternehmens integriert ist, ermöglicht es dem Unternehmen, Schwachstellen und Patches zu verwalten. Schwachstellen in Drittanbieterkomponenten (einschließlich Bibliotheken, APIs usw.), die in die Software eines Unternehmens eingebettet sind, machen diese Anwendungen ebenfalls anfällig für Angriffe. Zu wissen, welche Drittanbieterkomponenten in der Software des Unternehmens verwendet werden, und die Verfügbarkeit von Sicherheitspatches zur Behebung bekannter Schwachstellen zu überwachen, ist entscheidend für die Gewährleistung der Sicherheit der Software.
Rolle des SBOM
Organisationen können für jede intern entwickelte Bibliothek, Anwendung oder API ein SBOM erstellen und ihre Technologieanbieter auffordern, ein SBOM für jede Bibliothek, Anwendung oder API bereitzustellen, die Teil der Kartenverarbeitung ist.
Dies erstellt automatisch ein Inventar aller verwendeten Komponenten - ob intern oder nicht. Diese SBOMs können leicht mit allen bekannten Schwachstellen mithilfe von Plattformen wie Interlynk abgeglichen werden. Darüber hinaus ermöglicht es Interlynk, die Ausnutzbarkeit und die Häufigkeit von Patches zu verfolgen, sodass jedes organisatorische Ziel für Patching von einem einzigen Ort aus verwaltet werden kann.
Anforderung 11.3.1.1
Zweck
Die Identifizierung und schnelle Ansprache von Sicherheitsanfälligkeiten verringert die Wahrscheinlichkeit, dass eine Sicherheitsanfälligkeit ausgenutzt wird und potenziell ein Systemkomponente oder die Daten eines Karteninhabers gefährdet werden. Sicherheitsüberprüfungen, die mindestens alle drei Monate durchgeführt werden, bieten diese Erkennung und Identifizierung.
Rolle von SBOM
Anstatt auf die drei-monatlichen Überprüfungen zu warten, ermöglicht SBOM eine kontinuierliche Überwachung von Sicherheitsanfälligkeiten. Plattformen wie Interlynk verfolgen neu bekanntgegebene Sicherheitsanfälligkeiten und verwenden das SBOM-Inventar, das in Übereinstimmung mit Anforderung 6.3.2 erstellt wurde, um zu benachrichtigen, wenn neue Sicherheitsanfälligkeiten gegen die Inventare entdeckt werden.
Dies erleichtert die Identifizierung von Anwendungsanfälligkeiten und deren Schweregrad, prüft ihre Ausnutzungswahrscheinlichkeiten und -status und führt eine Aufzeichnung ihres Zustands über mehrere Versionen des Produkts mithilfe von VEX.
---
Während PCI DSS v4.0 über die Einführung schreitet, erfasst die Interlynk-Plattform kontinuierliche Sicherheitsanforderungen direkt aus Build-Pipelines und Anbietern, bereichert die zugrunde liegenden Daten, um aktuelle Sicherheitsrisiken sichtbar zu machen, ermöglicht die Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams, um stets bereit für die Einhaltung zu sein, und verfolgt einen umfassenden Überblick, um die Stakeholder auf dem Laufenden zu halten.
Da dies vollständig auf SBOM basiert, ist eine sofortige Nebenwirkung die Einhaltung verwandter Anforderungen wie denen, die aus dem Cyber Resilience Act (CRA) oder der Umsetzung der Executive Order 14028 (EO14028) entstehen.
Der Countdown für PCI DSS 4.0 läuft, und es bleiben weniger als acht Monate für die Einhaltung. Kontaktieren Sie Interlynk, um zu erfahren, wie wir Ihnen helfen können, diese Anforderungen zu erfüllen.