Der PCI Data Security Standard (PCI DSS) ist die Richtlinie, unter der alle modernen Kreditkartentransaktionen stattfinden.
Es handelt sich um einen globalen Standard, der eine Grundlage an technischen und betrieblichen Anforderungen bietet, um Kontodaten zu schützen. Diese Anforderungen zielen darauf ab, den gesamten Lebenszyklus einer Kreditkartentransaktion zu schützen, einschließlich Speicherung, Verarbeitung, Übertragung und Zugriff.
Quelle: PCI DSS v4.0 auf einen Blick
Die nächste Entwicklungsstufe von PCI DSS ist Version 4.0, die auf dem Feedback von über 200 Unternehmen basiert. Sie wurde über mehrere Jahre hinweg entwickelt, mit den ausdrücklichen Zielen, Sicherheit als kontinuierlichen Prozess zu etablieren, Flexibilität zu bieten und Validierungsmethoden zu verbessern.
PCI DSS v4.0 und SBOM
Quelle: PCI DSS V4.0 auf einen Blick
Version 3.2.1 lief am 31. März 2023 aus, und die Einhaltung von Version 4.0 fügt 64 neue Anforderungen hinzu.
13 dieser Anforderungen erfordern eine sofortige Einhaltung, und die anderen 51 haben ein Inkrafttretensdatum zum 31. März 2025.
Obwohl der Standard keinen Implementierungsmechanismus beschreibt, sind zwei als Evolving Requirements (Sich entwickelnde Anforderungen) beschriebene Anforderungen am besten für die Einhaltung mittels SBOM geeignet.
Anforderung 6.3.2
Zweck
Die Identifizierung und Auflistung aller maßgeschneiderten und benutzerdefinierten Software einer Organisation sowie aller Software von Drittanbietern, die in diese integriert ist, ermöglicht es der Organisation, Schwachstellen und Patches zu verwalten. Schwachstellen in Komponenten von Drittanbietern (einschließlich Bibliotheken, APIs usw.), die in die Software einer Organisation eingebettet sind, machen auch diese Anwendungen anfällig für Angriffe. Zu wissen, welche Drittanbieter-Komponenten in der Software der Organisation verwendet werden, und die Verfügbarkeit von Sicherheits-Patches zur Behebung bekannter Schwachstellen zu überwachen, ist für die Gewährleistung der Softwaresicherheit von entscheidender Bedeutung.
Rolle der SBOM
Organisationen können für jede im eigenen Haus entwickelte Bibliothek, Anwendung oder API eine SBOM erstellen und von ihren Technologieanbietern verlangen, eine SBOM für jede Bibliothek, Anwendung oder API bereitzustellen, die Teil der Kartenverarbeitung ist.
Dies erstellt automatisch ein Inventar aller verwendeten Komponenten – ob intern oder nicht. Diese SBOMs können mithilfe von Plattformen wie Interlynk problemlos allen bekannten Schwachstellen zugeordnet werden. Darüber hinaus ermöglicht Interlynk die Verfolgung der Ausnutzbarkeit und des Patch-Rhythmus, sodass jedes organisatorische Ziel für das Patchen von einer einzigen Stelle aus verwaltet werden kann.
Anforderung 11.3.1.1
Zweck
Das rechtzeitige Erkennen und Beheben von Schwachstellen verringert die Wahrscheinlichkeit, dass eine Schwachstelle ausgenutzt wird, und die potenzielle Gefährdung einer Systemkomponente oder von Karteninhaberdaten. Mindestens alle drei Monate durchgeführte Schwachstellen-Scans sorgen für diese Erkennung und Identifizierung.
Rolle der SBOM
Anstatt auf die vierteljährlichen Scans zu warten, ermöglicht die SBOM eine kontinuierliche Überwachung von Schwachstellen. Plattformen wie Interlynk verfolgen neu offengelegte Schwachstellen und nutzen das in Übereinstimmung mit Anforderung 6.3.2 erstellte SBOM-Inventar, um zu benachrichtigen, wenn neue Schwachstellen im Vergleich zu den Inventaren entdeckt werden.
Dies macht es mühelos, Schwachstellen in der Anwendung und deren Schweregrad zu identifizieren, ihre Ausnutzungswahrscheinlichkeiten und ihren Status zu überprüfen und mithilfe von VEX Aufzeichnungen über ihren Zustand über mehrere Versionen des Produkts hinweg zu führen.
---
Während die Einführung von PCI DSS v4.0 voranschreitet, erfasst die Interlynk-Plattform kontinuierliche Sicherheitsanforderungen direkt aus Build-Pipelines und von Anbietern, reichert zugrunde liegende Daten an, um aktuelle Sicherheitsrisiken aufzudecken, ermöglicht die Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams zur Gewährleistung einer stets einsatzbereiten Compliance und bietet einen umfassenden Überblick, um alle Beteiligten auf dem Laufenden zu halten.
Da dies vollständig auf SBOM aufbaut, ist ein unmittelbarer Nebeneffekt die Einhaltung damit verbundener Anforderungen, wie sie sich beispielsweise aus dem Cyber Resilience Act (CRA) oder der Umsetzung der Executive Order 14028 (EO14028) ergeben.
Der Countdown für PCI DSS 4.0 läuft, und es bleiben weniger als acht Monate bis zur Einhaltung. Kontaktieren Sie Interlynk, um zu erfahren, wie wir Sie bei der Erfüllung dieser Anforderungen unterstützen können.
About Us
Interlynk entwickelt Sicherheitsinfrastruktur für die Software-Lieferkette – für Teams, die SBOMs als operative Disziplin begreifen und nicht als einmaliges Compliance-Artefakt. Wenn Sie planen, wie ein auditfähiges SBOM-Programm für Ihre regulierten Produkte aussehen soll, erfahren Sie, wie SBOMs CRA, NIS2, FDA und DORA zugeordnet werden – oder buchen Sie eine Demo.