Mostrando 3 respuestas a los debates
  • Autor
    Entradas
    • #44487
      Angel
      Participante

      Buen día,
      Me podrían indicar algunas herramientas open source o de paga para poder realizar la revisión de código seguro de mis aplicaciones que se encuentran en mi entorno de datos de titular de tarjeta.

      Esto es requerido en dentro del requisito 6 de PCI DSS.

      Muchas gracias

    • #44637
      David Acosta
      Participante

      Buenas tardes Ángel:
      Bueno, la elección de la herramienta depende muchas veces del lenguaje de programación que uses. No obstante, puedes echarle un vistazo a estas dos URL en las cuales encontrarás gran cantidad de herramientas (Open Source y comerciales) que puedes analizar:
      + NIST Source Code Security Analyzers https://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html
      + OWASP Static Code Analysis https://www.owasp.org/index.php/Static_Code_Analysis
      Saludos,
      David

    • #49565
      SV007
      Participante

      Hola David,

      nosotros somos un call center que utilizamos los sistemas de los clientes para procesar los datos del titular de la tarjeta (VPN), pero los desarrollos internos, los sitios web, las aplicaciones que desarrollamos son administrativas y no procesan datos de titulares de tarjetas,entonces son aplicables los requisitos 6.3, 6.4, 6.5 al área de desarrollo?

    • #49646
      David Acosta
      Participante

      Buenas tardes:
      La respuesta depende de los servicios que le ofrecéis contractualmente a vuestros clientes. Si dentro de esos servicios está estipulado explícitamente que hay desarrollo de software y que ese software hace parte del entorno de PCI DSS de los clientes, entonces sí que debe cumplir con los requerimientos 6.3, 6.3 y 6.5.
      Por otro lado, si las aplicaciones administrativas que indicas:
      1) No procesan, transmiten y/o almacenan datos de tarjetas,
      2) No están conectadas al entorno de cumplimiento PCI DSS (vuestro o de vuestro cliente),
      3) No afectan la seguridad del entorno de PCI DSS, y
      4) Se encuentran ubicadas en un entorno de red aislado de la red de PCI DSS
      Entonces se podrían considerar fuera del alcance.
      No obstante, mi recomendación es siempre validar estos temas con vuestro asesor QSA, que tendrá acceso a los diagramas de red y a los flujos de datos, para entregar una opinión objetiva respecto a esta pregunta.
      Saludos,
      David

Mostrando 3 respuestas a los debates
  • Debes estar registrado para responder a este debate.