Este debate contiene 1 respuesta, tiene 2 mensajes y lo actualizó David Acosta David Acosta hace 2 años, 2 meses.

  • Autor
    Publicaciones
  • #45189
    Avatar
    Jose
    Participante

    David, buenas tardes. Tengo unas dudas con respecto al documento de «Policies and Procedures Requirements», específicamente en: el punto 5.4.2 inciso C, «how each type of change ties to a specific versión number» a que se refiere con Tipo de Cambio (si se puede traducir así).
    Además, en el punto 5.5 habla de riesgos, son internos o externos? Ejemplo OWASP (top 10) u otros,; habla también del » A list of potential threats and vulnerabilities resulting from cardholder data-flow analyses » específicamente a ??y con qué criterios se les asigna la calificación de alta, media, baja a estos riesgos. Gracias

  • #45296
    David Acosta
    David Acosta
    Participante

    Buenas tardes José:

    Para la primera pregunta:
    – En el documento «PA DSS Program Guide» (https://www.pcisecuritystandards.org/documents/PA-DSS-v3_2-Program-Guide.pdf) en la página 49 indica lo siguiente:
    «… Type of change: major, minor, maintenance release, wildcard, etc. …»
    Todo esto viene vinculado al formato de numeración del control de versiones de la aplicación certificada PA DSS.

    Para la segunda pregunta:
    – Se habla de una técnica de evaluación de riesgos pero como tal no se indica una metodología en particular ni un proceso de análisis específico. Es por esta razón que internamente se tiene que identificar y alinear un modelo de riesgos en el proceso de desarrollo de software.
    En este caso, se puede hacer uso de OWASP Threat Risk Modeling (https://www.owasp.org/index.php/Threat_Risk_Modeling) o de cualquiera de los modelos alternativos que se identifican en esa misma pagina.
    Respecto al criterio para asignación de riesgo, se puede emplear el mismo modelo que emplea OWASP con el Top Ten: OWASP Risk Rating Methodology (https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology), que incluso trae una hoja Excel como ejemplo (https://www.owasp.org/images/5/5b/OWASP_Risk_Rating_Template_Example.xlsx). Si no, se pueden emplear los criterios descritos en CVSS (https://www.first.org/cvss/calculator/3.0).

    Échale un vistazo a esta documentación y si tienes preguntas, no dudes en escribirme.

    Saludos,

    David

Debes estar registrado para responder a este debate.