PCI DSS 标准要求 5 和 6 ,侧重于软件级保护,以防止、检测和缓解对范围内系统组件中漏洞的利用。

在 PCI DSS 版本 4.0 中,这些要求被重命名,以阐明和扩大其操作范围,更正版本 3.2.1 中确定的一些约束。

PCI DSS v3.2.1

PCI DSS v4.0

Maintain a Vulnerability Management Program

Maintain a Vulnerability Management Program

5. Protect all systems against malware and regularly update anti-virus software or programs

5. Protect All Systems and Networks from Malicious Software

6. Develop and maintain secure systems and applications

6. Develop and Maintain Secure Systems and Software

要求 5:保护所有系统和网络免受恶意软件的侵害

自第一个版本以来,PCI DSS 标准包括用于检测、删除、阻止和遏制恶意软件的控制。但是,在 3.2.1 版之前,这些控件通常被称为“防病毒软件”,从严格的技术角度来看,这是不正确的,因为这种类型的解决方案不仅可以防止病毒(顾名思义),还可以防止其他已知的恶意软件变种(蠕虫)、特洛伊木马、 勒索软件、间谍软件、rootkit、广告软件、后门等)。

因此,从 PCI DSS 版本 4.0 开始,术语“反恶意软件”不仅用于涵盖病毒,还用于涵盖所有其他系列的恶意代码,这更符合此要求的目的。

PCI DSS v4.0 分析 – 要求5和6_应用程序

新版标准中包含的其他变化包括:

  • 为了避免在以前版本的标准中看到的关于哪些操作系统应该安装反恶意软件解决方案以及哪些操作系统不应该安装反恶意软件解决方案的歧义,我们选择了一种更具操作性的方法:实体应进行定期评估,以确定哪些系统组件应该需要反恶意软件解决方案。确定不受恶意软件影响的所有其他资产必须包含在列表中(要求 5.2.3)。
  • 应自动执行对反恶意软件解决方案的更新(要求 5.3.1)
  • 最后,术语“实时扫描”明确用于反恶意软件解决方案(这是一种持续和连续扫描,每次接收、打开、下载、复制或修改文件时都会执行扫描以搜索安全风险)。以前,有人提到反恶意软件机制应该积极运行,这引起了不同的解释。
  • 对系统或进程行为的持续分析被纳入反恶意软件解决方案的一种公认的扫描方法,作为传统定期扫描(计划和按需)和实时扫描(实时或访问)的替代方案 – Req。5.3.2.
  • 至于计划扫描,其周期性必须根据风险分析进行配置(要求 5.3.2.1)。
  • 可移动存储介质的扫描是强制性的(要求 5.3.3)。
  • 反恶意软件解决方案的日志保留符合一般日志管理标准(12 个月,最近 3 个月可用于立即分析 - 要求 5.3.4)。
  • 强制使用机制来检测和防范网络钓鱼攻击(要求 5.4.1)。在这种情况下,要实施的控制措施超出了反恶意软件代理的安装范围,涉及电子邮件服务器级别的配置(这些服务器不必在范围内)。


要求 6:开发和维护安全的系统和软件

与绝大多数 PCI DSS 要求一样,要求 6 对其名称的更改也不陌生,这一次扩大了其范围,不仅涵盖应用程序,还涵盖一般软件。在这一行中,澄清了此要求的控制适用于系统的所有组件,但第 6.2 节除外,该节仅适用于定制或内部开发的软件。

对自定义或内部开发软件的控件最相关的更改是:

  • 更改了要求中的控制顺序,在第 6.2 节中组织了自定义或内部开发软件的控制,第 6.3 节用于更新和漏洞管理,第 6.4 节用于保护可公开访问的 Web 应用程序,以及第 6.5 节用于变更管理。
  • 优先在定制或内部开发的软件中应用安全控制,以防止在开发生命周期的整个阶段出现漏洞。
  • 添加了有关开发人员培训内容的详细信息(要求 6.2.2):
  • 必须每年进行一次
  • 它必须涵盖所使用的编程语言
  • 它应包括有关用于检测漏洞的工具的信息
  • 至于代码审查,它应该按照安全开发指南进行,包括对现有和新出现的漏洞的审查,并在发布前应用修复(要求 6.3.2)。
  • 软件开发中的一些“传统”漏洞(SQLi、XSS、CSRF 等)被归为一个需求(要求 6.2.4)。

另一方面,为了管理安全漏洞,添加/补充了以下控制措施:

  • 在 PCI DSS 版本 4.0 中,要求6.3.3(以前的 6.2)“高”和“关键”补丁必须在发布后的第一个月内安装。在 PCI DSS v3.2.1 中,只需要安装“关键”补丁。
  • 漏洞识别不仅应涵盖“基础”软件(操作系统、数据库、应用程序、网络设备),还应涵盖库、编译器、编程语言
  • 首次提到“漏洞赏金”的概念,作为第三方向实体报告漏洞的附加工具(要求 6.3.1)。
  • 需要创建自定义或内部开发的软件清单,包括链接的组件,如库、服务、框架等(要求 6.3.2,将于 2025 年 3 月 31 日生效)。
  • 从 2025 年 3 月 31 日起,将强制使用自动化技术工具实时检测和预防 Web 攻击(例如 Web 应用程序防火墙 – WAF)。运行常规 Web 应用程序扫描工具(作为保护可公开访问的 Web 应用程序的选项)将不再有效。
  • 要求6.4.1 (Protecting Publicly Accessible Web Applications) 提到运行时应用程序自我保护 (RASP) 技术是 Web 应用程序防火墙 (WAF) 的补充工具。
  • 最后,文件中提出的许多标准 信息补充:保护电子商务的最佳实践 被纳入标准,包括实施技术方法,以保护在用户浏览器中加载和执行的结账页面上的脚本,包括:
  • 用于确认每个脚本是否已授权的控件
  • 用于验证每个脚本完整性的控件
  • 所有使用的脚本及其相关理由的清单。

另一方面,在变更管理方面:

  • 如果 CDE 中包含实时 PAN 并根据 PCI DSS 进行保护,则允许在预生产环境中使用这些环境。
  • 变更管理包括对自定义或内部开发的软件所做的更改。