PCI DSS 4.0 en SBOM
Interlynk
PCI Data Security Standard (PCI DSS) is de garantie waaronder alle moderne creditcardtransacties plaatsvinden.
Het is een wereldwijde norm die een basislijn biedt van technische en operationele vereisten die zijn ontworpen om accountgegevens te beschermen. De vereisten zijn gericht op het waarborgen van de hele levenscyclus van een creditcardtransactie, inclusief opslag, verwerking, transmissie en toegang.
Bron: PCI DSS V4.0 in een Notendop
De volgende evolutie van PCI DSS is versie 4.0, gebaseerd op feedback van meer dan 200 bedrijven. Het heeft enkele jaren geduurd om te maken met de expliciete doelen van beveiliging als een continu proces, flexibiliteit en verbeteringen in validatiemethoden.
PCI DSS v4.0 en SBOM
Bron: PCI DSS V4.0 in een Notendop
Versie 3.2.1 is met pensioen gegaan op 31 maart 2023, en naleving van Versie 4.0 voegt 64 nieuwe vereisten toe.
13 van deze vereisten vereisen onmiddellijke naleving, en de andere 51 hebben een ingangsdatum van 31 maart 2025.
Hoewel de standaard geen implementatiemechanisme beschrijft, zijn twee vereisten die worden beschreven als - Evolutionaire Vereisten - het best geschikt voor naleving met behulp van SBOM.
Eis 6.3.2
Doel
Het identificeren en opsommen van alle op maat gemaakte en aangepaste software van de entiteit, en alle software van derden die is opgenomen in de op maat gemaakte en aangepaste software van de entiteit stelt de entiteit in staat om kwetsbaarheden en patches te beheren. Kwetsbaarheden in componenten van derden (inclusief bibliotheken, API's, enz.) die in de software van een entiteit zijn ingebed, maken die toepassingen ook kwetsbaar voor aanvallen. Weten welke componenten van derden in de software van de entiteit worden gebruikt en het toezicht houden op de beschikbaarheid van beveiligingspatches om bekende kwetsbaarheden aan te pakken, is cruciaal voor het waarborgen van de beveiliging van de software.
Rol van SBOM
Organisaties kunnen SBOM's maken voor elke bibliotheek, applicatie of API die intern is ontwikkeld en vereisen dat hun technologieleveranciers SBOM's verstrekken voor elke bibliotheek, applicatie of API die deel uitmaakt van de kaartverwerking.
Dit bouwt automatisch een inventaris op van alle gebruikte componenten - intern of niet. Deze SBOM's kunnen eenvoudig worden gekoppeld aan alle bekende kwetsbaarheden met behulp van platforms zoals Interlynk. Bovendien stelt Interlynk in staat om de exploitatie en patchfrequentie te volgen, zodat elk organisatorisch doel voor patching vanuit één enkele plek kan worden beheerd.
Vereiste 11.3.1.1
Doel
Het tijdig identificeren en aanpakken van kwetsbaarheden vermindert de kans dat een kwetsbaarheid wordt uitgebuit en het potentiële compromis van een systeemcomponent of kaartgegevens. Kwetsbaarheidsscans die ten minste elke drie maanden worden uitgevoerd, bieden deze detectie en identificatie.
Rol van SBOM
In plaats van te wachten op de scans om de drie maanden, maakt SBOM voortdurende kwetsbaarheidmonitoring mogelijk. Platforms zoals Interlynk volgen nieuw ontdekte kwetsbaarheden en gebruiken de SBOM-inventaris die is opgebouwd in overeenstemming met vereiste 6.3.2 om te melden wanneer nieuwe kwetsbaarheden tegen de inventarissen worden ontdekt.
Dit maakt het moeiteloos om applicatiekwetsbaarheden en hun ernst te identificeren, hun exploitatiekansen en status te controleren, en een record van hun status over verschillende versies van het product bij te houden met VEX.
---
Naarmate PCI DSS v4.0 wordt aangenomen, legt het Interlynk-platform continue beveiligingseisen vast rechtstreeks vanuit build-pijplijnen en leveranciers, verrijkt de onderliggende gegevens om actuele beveiligingsrisico's naar boven te halen, maakt samenwerking tussen ontwikkelings- en veiligheidsteams mogelijk om altijd voorbereid te zijn op naleving en volgt een uitgebreid overzicht om belanghebbenden op de hoogte te houden.
Aangezien dit volledig is opgebouwd op SBOM, is een onmiddellijk neveneffect naleving van verwante eisen zoals die voortkomen uit de Cyber Resilience Act (CRA) of de implementatie van Executive Order 14028 (EO14028).
De countdown naar PCI DSS 4.0 is begonnen, en er zijn nog minder dan acht maanden over voor naleving. Neem contact op met Interlynk om te leren hoe wij kunnen helpen bij het voldoen aan deze eisen.