Este debate contiene 3 respuestas, tiene 3 mensajes y lo actualizó David Acosta David Acosta hace 1 mes, 3 semanas.

  • Autor
    Publicaciones
  • #44487
    Avatar
    Angel
    Participante

    Buen día,
    Me podrían indicar algunas herramientas open source o de paga para poder realizar la revisión de código seguro de mis aplicaciones que se encuentran en mi entorno de datos de titular de tarjeta.

    Esto es requerido en dentro del requisito 6 de PCI DSS.

    Muchas gracias

  • #44637
    David Acosta
    David Acosta
    Participante

    Buenas tardes Ángel:
    Bueno, la elección de la herramienta depende muchas veces del lenguaje de programación que uses. No obstante, puedes echarle un vistazo a estas dos URL en las cuales encontrarás gran cantidad de herramientas (Open Source y comerciales) que puedes analizar:
    + NIST Source Code Security Analyzers https://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html
    + OWASP Static Code Analysis https://www.owasp.org/index.php/Static_Code_Analysis
    Saludos,
    David

  • #49565
    Avatar
    SV007
    Participante

    Hola David,

    nosotros somos un call center que utilizamos los sistemas de los clientes para procesar los datos del titular de la tarjeta (VPN), pero los desarrollos internos, los sitios web, las aplicaciones que desarrollamos son administrativas y no procesan datos de titulares de tarjetas,entonces son aplicables los requisitos 6.3, 6.4, 6.5 al área de desarrollo?

  • #49646
    David Acosta
    David Acosta
    Participante

    Buenas tardes:
    La respuesta depende de los servicios que le ofrecéis contractualmente a vuestros clientes. Si dentro de esos servicios está estipulado explícitamente que hay desarrollo de software y que ese software hace parte del entorno de PCI DSS de los clientes, entonces sí que debe cumplir con los requerimientos 6.3, 6.3 y 6.5.
    Por otro lado, si las aplicaciones administrativas que indicas:
    1) No procesan, transmiten y/o almacenan datos de tarjetas,
    2) No están conectadas al entorno de cumplimiento PCI DSS (vuestro o de vuestro cliente),
    3) No afectan la seguridad del entorno de PCI DSS, y
    4) Se encuentran ubicadas en un entorno de red aislado de la red de PCI DSS
    Entonces se podrían considerar fuera del alcance.
    No obstante, mi recomendación es siempre validar estos temas con vuestro asesor QSA, que tendrá acceso a los diagramas de red y a los flujos de datos, para entregar una opinión objetiva respecto a esta pregunta.
    Saludos,
    David

Debes estar registrado para responder a este debate.