Obtenir la conformité PCI DSS v4.0 avec Chainguard Images
Nouveautés de PCI DSS v4.0
PCI DSS est un ensemble d'exigences de sécurité conçues pour protéger les données sensibles des titulaires de cartes, telles que les informations sur les cartes de crédit, l'expiration, le nom, etc. Toutes les organisations qui stockent, traitent ou transmettent des données relatives aux titulaires de cartes doivent se conformer à ces exigences.
PCI DSS v4.0 est la dernière version des exigences de sécurité qui sont en vigueur à partir du 1er avril 2024 et obligatoires après le 1er avril 2025. Parmi les nombreuses mises à jour des exigences, il y a des lignes directrices améliorées sur la façon dont les organisations détectent, gèrent et remédient à leurs vulnérabilités.
Exigences en matière de gestion des vulnérabilités dans la norme PCI DSS v4.0
Détecter en permanence les nouvelles vulnérabilités et les classer par ordre de priorité
Les organisations sont tenues de rechercher les vulnérabilités une fois tous les trois mois et de s'assurer que toutes les vulnérabilités sont triées.
Exigence 11.3.1 - Des analyses de vulnérabilité internes sont effectuées une fois tous les trois mois, au moins
Exigence 11.3.1.1 - Toutes les vulnérabilités applicables (en plus des vulnérabilités à haut risque ou critiques selon le classement des risques de vulnérabilité de l'entité défini à l'exigence 6.3.1) sont traitées.
Toutes les vulnérabilités doivent être classées en fonction du risque.
Cette exigence incite les organisations à se pencher sur les pratiques de l'industrie en matière de classification des vulnérabilités et à créer leur propre système de classification pour classer toutes les vulnérabilités découvertes par leur scanner. Il existe également des appels spéciaux pour cataloguer et classer les vulnérabilités trouvées dans des logiciels tiers (exigence 6.3.2).
Exigence 6.3.1 - Les nouvelles failles de sécurité sont identifiées à l'aide de sources d'information sur les failles de sécurité reconnues par l'industrie. Les vulnérabilités sont classées par ordre de risque sur la base des meilleures pratiques de l'industrie et en tenant compte de l'impact potentiel. Les vulnérabilités des logiciels sur mesure et personnalisés, ainsi que des logiciels de tiers (par exemple, les systèmes d'exploitation et les bases de données) sont couvertes.
Exigence 6.3.2 - Un inventaire des logiciels sur mesure et personnalisés, ainsi que des composants logiciels tiers incorporés dans les logiciels sur mesure et personnalisés, est tenu à jour pour faciliter la gestion des vulnérabilités et des correctifs.
Corriger toutes les vulnérabilités critiques et élevées, disposer d'un plan d'action pour les autres. Une fois les vulnérabilités et les faiblesses de sécurité détectées et classées, les organisations doivent remédier à toutes les vulnérabilités en fonction de leur classification. Il s'agit d'un changement par rapport aux anciennes lignes directrices de la norme PCI DSS, qui prévoyaient que seules les vulnérabilités critiques et élevées devaient être corrigées. Exigence 11.4.4 - Toutes les vulnérabilités et faiblesses de sécurité exploitables doivent être traitées conformément à votre politique de remédiation, telle que définie au point 6.3.1.
Défis liés aux nouvelles exigences en matière de gestion des vulnérabilités
Les scanners de vulnérabilités peuvent être bruyants
De nombreux scanners produisent des faux positifs ou signalent des vulnérabilités qui ne sont pas réellement risquées. Avec l'exigence 11.4.4, toutes les vulnérabilités doivent être examinées et une justification doit être fournie pour toutes les vulnérabilités qui ne sont pas applicables. Par conséquent, les organisations doivent adapter leurs scanners à une application spécifique pour obtenir les meilleurs résultats, ou exécuter plusieurs scanners pour corréler les résultats et s'assurer que vous ne détectez que les vrais positifs.
Les plans de correction des vulnérabilités peuvent être difficiles à mettre en œuvre
L'exécution d'un plan de correction des vulnérabilités pour l'ensemble de vos logiciels peut s'avérer très complexe. Par exemple, les organisations doivent tester si la correction va *réellement* remédier à la vulnérabilité, car parfois elle peut introduire un autre risque plus important pour votre logiciel. Ensuite, les organisations doivent cataloguer et valider toutes les applications qui doivent être corrigées, ce qui peut impliquer plusieurs équipes et d'autres tests spécifiques aux applications pour s'assurer que tout fonctionne comme prévu.
Coût humain élevé
Les équipes AppSec ou Product Security seront probablement chargées de la détection, de l'investigation et de la détermination de la remédiation appropriée. Avec la mise à jour de l'exigence 11.4.4 où toutes les vulnérabilités doivent être traitées (au lieu de critiques et élevées seulement), les responsabilités de l'équipe augmenteront drastiquement. Si l'on considère uniquement l'image golang:latest, il y a 26 vulnérabilités critiques/élevées sur un total de 128 vulnérabilités (au 12 mai 2024). Cette image représente à elle seule une augmentation de près de 4 fois des vulnérabilités à traiter pour les équipes de sécurité des produits.
Mise en conformité rapide avec la norme PCI DSS v4.0 grâce aux images Chainguard
Les images Chainguard sont soigneusement conçues pour ne contenir que peu ou pas de CVE. Les organisations peuvent les utiliser comme source pour construire leurs applications. Les avantages de notre solution sont les suivants :
Vous êtes sécurisé par défaut - nos images contiennent peu ou pas de CVE. Consultez vous-même notre répertoire d'images.
Des partenariats étendus avec des scanners - nous sommes en partenariat avec les meilleurs scanners de l'industrie tels que Snyk, Crowdstrike, et Wiz pour n'en citer que quelques-uns
SBOM pour toutes les images Chainguard - obtenez une transparence totale sur les paquets réellement utilisés dans nos images et finalement exécutés dans votre environnement.
Moins de surcharge humaine - chaque nouvelle version de Chainguard Image est soigneusement analysée et tous les CVEs adressables sont corrigés.
Confiance dans notre CVE SLA - nous nous engageons à fournir des logiciels sécurisés et à corriger les CVEs pour que vous n'ayez pas à le faire.
Chainguard offre des images CVE à zéro connaissance pour des projets populaires tels que python, go, et nginx, pour n'en citer que quelques-uns. Consultez notre répertoire d'images pour essayer nos images gratuitement dès aujourd'hui.
*Remerciements particuliers à l'équipe d'ingénieurs commerciaux de Chainguard pour avoir partagé leurs connaissances approfondies de PCI DSS v4.0. Leurs idées ont contribué à façonner le contenu de cet article et à en assurer l'exactitude.
Share this article
Articles connexes
- product
Everything we announced at Chainguard Assemble 2026
Patrick Donahue, SVP, Product
- product
Meet the Guardener: The intelligent migration expert for everyone
Sam Katzen, Director, Product Marketing, and Tony Camp, Staff Product Marketing Manager
- product
Introducing Chainguard Catalog Starter: Your choice of five free trusted container images from the best catalog
Ed Sawma, VP, Product Marketing, Anushka Iyer, Product Marketing Manager, and Tony Camp, Staff Product Manager
- product
Introducing Chainguard Agent Skills: Because your AI agent shouldn't trust strangers
Sam Katzen, Director, Product Marketing, and Reid Tatoris, VP, Product Management
- product
Introducing Chainguard Actions: CI/CD workflows you can trust
Ross Gordon, Staff Product Marketing Manager, and Reid Tatoris, VP, Product Management
- product
Introducing Chainguard Repository: A unified experience for secure-by-default open source artifacts
Ross Gordon, Staff Product Marketing Manager, and Angela Zhang, Senior Product Manager