Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 6.3.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
16.5
16.5 Use Up-to-Date and Trusted Third-Party Software Components
Use up-to-date and trusted third-party software components. When possible, choose established and proven frameworks and libraries that provide adequate security. Acquire these components from trusted sources or evaluate the software for vulnerabilities before use.
Use up-to-date and trusted third-party software components. When possible, choose established and proven frameworks and libraries that provide adequate security. Acquire these components from trusted sources or evaluate the software for vulnerabilities before use.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
16.5
16.5 Реализовано использование актуальных и доверенных компонентов программного обеспечения от сторонних производителей
Компоненты ПО скачиваются из проверенных источников и проверяются на безопасность перед установкой.
Компоненты ПО скачиваются из проверенных источников и проверяются на безопасность перед установкой.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.3.2
6.3.2
Определенные Требования к Подходу:
Для облегчения управления уязвимостями и исправлениями ведется инвентаризация программного обеспечения, изготовленного на заказ, и программных компонентов сторонних производителей, включенных в программное обеспечение, изготовленное на заказ.
Цель Индивидуального подхода:
Известные уязвимости в компонентах программного обеспечения сторонних производителей не могут быть использованы в программном обеспечении, изготовленном на заказ.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Для облегчения управления уязвимостями и исправлениями ведется инвентаризация программного обеспечения, изготовленного на заказ, и программных компонентов сторонних производителей, включенных в программное обеспечение, изготовленное на заказ.
Цель Индивидуального подхода:
Известные уязвимости в компонентах программного обеспечения сторонних производителей не могут быть использованы в программном обеспечении, изготовленном на заказ.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 6.3.2.a Изучите документацию и опросите персонал, чтобы убедиться, что ведется инвентаризация программного обеспечения, изготовленного на заказ, и программных компонентов сторонних производителей, включенных в программное обеспечение, изготовленное на заказ, и что инвентаризация используется для выявления и устранения уязвимостей.
- 6.3.2.b Изучите документацию по программному обеспечению, в том числе для изготовленного на заказ и изготовленного на заказ программного обеспечения, которое объединяет сторонние программные компоненты, и сравните ее с описью, чтобы убедиться, что опись включает в себя изготовленное на заказ и изготовленное на заказ программное обеспечение и сторонние программные компоненты.
Цель:
Идентификация и перечисление всего специализированного и настраиваемого программного обеспечения организации, а также любого стороннего программного обеспечения, включенного в специализированное и настраиваемое программное обеспечение организации, позволяет организации управлять уязвимостями и исправлениями.
Уязвимости в компонентах сторонних производителей (включая библиотеки, API и т.д.), Встроенные в программное обеспечение организации, также делают эти приложения уязвимыми для атак. Знание того, какие сторонние компоненты используются в программном обеспечении организации, и мониторинг наличия исправлений безопасности для устранения известных уязвимостей имеют решающее значение для обеспечения безопасности программного обеспечения.
Надлежащая практика:
Инвентаризация организации должна охватывать все компоненты и зависимости платежного программного обеспечения, включая поддерживаемые платформы или среды выполнения, сторонние библиотеки, службы и другие необходимые функциональные возможности.
Существует множество различных типов решений, которые могут помочь в управлении запасами программного обеспечения, таких как инструменты анализа состава программного обеспечения, инструменты обнаружения приложений и управление мобильными устройствами.
Идентификация и перечисление всего специализированного и настраиваемого программного обеспечения организации, а также любого стороннего программного обеспечения, включенного в специализированное и настраиваемое программное обеспечение организации, позволяет организации управлять уязвимостями и исправлениями.
Уязвимости в компонентах сторонних производителей (включая библиотеки, API и т.д.), Встроенные в программное обеспечение организации, также делают эти приложения уязвимыми для атак. Знание того, какие сторонние компоненты используются в программном обеспечении организации, и мониторинг наличия исправлений безопасности для устранения известных уязвимостей имеют решающее значение для обеспечения безопасности программного обеспечения.
Надлежащая практика:
Инвентаризация организации должна охватывать все компоненты и зависимости платежного программного обеспечения, включая поддерживаемые платформы или среды выполнения, сторонние библиотеки, службы и другие необходимые функциональные возможности.
Существует множество различных типов решений, которые могут помочь в управлении запасами программного обеспечения, таких как инструменты анализа состава программного обеспечения, инструменты обнаружения приложений и управление мобильными устройствами.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.