Chainguard-Bilder sind der Goldstandard für PCI DSS v4.0
Der Payment Card Industry Data Security Standard (PCI DSS) v4.0 ist eine Reihe von Sicherheitsvorschriften, die entwickelt wurden, um Verbraucherdaten bei der Speicherung, Verarbeitung und Übertragung von Karteninhaberinformationen und sensiblen Authentifizierungsdaten zu schützen. Diese Standards werden von den großen Playern in der Kartenverarbeitung (Mastercard, Discover, Visa und andere) geschrieben und durchgesetzt und müssen von jedem Unternehmen umgesetzt werden, das Debit- oder Kreditkartenzahlungen akzeptiert, einen externen Anbieter verwendet, um Debit- oder Kreditkartenzahlungen zu akzeptieren, oder Karteninhaberinformationen oder Autorisierungsdaten verwaltet. PCI DSS v4.0 trat im April 2024 in Kraft und wird nun ab April 2025 verpflichtend. Die Nichteinhaltung kann Bußgelder, Strafen oder im schlimmsten Fall die Unfähigkeit zur Abwicklung von Zahlungen zur Folge haben.
Chainguard Images ist keine umfassende Lösung für das gesamte PCI DSS-Framework, aber es löst einige wichtige Compliance-Bereiche rund um die Containersicherheit. Chainguard trägt nämlich dazu bei, das Asset Management und das Schwachstellenmanagement zu vereinfachen. Unsere Bilder gehen auch über das Erforderliche hinaus, mit STIG-Level-Härtung und FIPS-Kryptographie. In diesem Blog werden wir tiefer in jedes dieser wichtigen PCI DSS-Steuerelemente eintauchen.
Asset Management: Verständnis Ihres Software-Supply-Chain-Inventars
Ähnlich wie bei anderen Compliance-Frameworks besteht einer der ersten Schritte von PCI DSS v4.0 darin, den Umfang dessen zu identifizieren, was gesichert werden muss. Für PCI DSS müssen Engineering- und Compliance-Teams sowohl Erst- als auch Drittanbieterkomponenten, aus denen sich die Karteninhaberdatenumgebung (CDE) zusammensetzt, sowie alle Komponenten, die sich auf die Sicherheit des CDE auswirken könnten, vollständig inventarisieren. Dies kann eine langwierige und zeitraubende Aufgabe sein, die eine engagierte Mitarbeiterzahl des Entwicklungsteams erfordert, die Entwickler von wichtigen Produktarbeiten abhält, um Zeit mit der Erstellung detaillierter Software-Stücklisten (SBOMs) zu verbringen, dunkle Software-Materie zu erfassen und Sicherheitslücken manuell in ihrem CDE zu identifizieren, wo sich Risiken ausbreiten können.
Chainguard Images vereinfacht diesen Prozess. Unsere Bilder werden mit Vollzeit-SBOMs als Code geliefert, die entwickelt wurden, um einen Großteil der manuellen Arbeit zu eliminieren, die erforderlich ist, um Ihren Container-Fußabdruck zu erweitern. Chainguard SBOMs sind werkzeugunabhängig – Benutzer können fast jedes Software Composition Analysis (SCA) -Tool nutzen und dennoch konsistente Scan-Ergebnisse generieren, während sie gleichzeitig dunkle Software-Materie erfassen und dokumentieren. Und unsere Container werden ständig aktualisiert, um die Benutzer von den Schmerzen großer Softwaremigrationen und Akkreditierungen zu befreien. Zusammenfügen: Chainguard abstrahiert fast 100 % der containerbezogenen Asset-Management-Komplexität und Kontrollen für die PCI DSS-Compliance.
Schwachstellenmanagement und Berichterstattung: Das Herzstück der PCI DSS-Compliance
Eine der größten und zeitaufwendigsten Anforderungen in PCI DSS v4.0 sind die Common Vulnerabilities and Exposures (CVE) -Managementkontrollen. Gemäß Control 11.3.1 müssen alle CVEs identifiziert, bewertet und verwaltet werden. Das bedeutet, dass Unternehmen verpflichtet sind, alle CVEs in ihrer Umgebung zu korrigieren, um konform zu sein. Kritische und hohe CVEs müssen innerhalb eines strengen 30-tägigen SLA gemäß Kontrolle 6.3.3 behoben werden. Und wie wir bereits erwähnt haben, ist die CVE-Identifizierung, -Sortierung und -Sanierung ein zeitaufwändiger Prozess, der Hunderte von Stunden (oder mehr) von Ihrem Entwicklungsteam in Anspruch nehmen kann. Es ist auch extrem teuer und kostet möglicherweise Hunderttausende oder sogar Millionen von Dollar pro Jahr, wenn Sie es selbst tun.
PCI DSS v4.0 erfordert auch, dass Unternehmen nicht nur CVEs rechtzeitig beheben, sondern auch identifizierte CVEs kontinuierlich dokumentieren und melden. Gemäß Control 2.2.5 müssen Unternehmen alle in ihrer Umgebung gefundenen CVEs mit einer geschäftlichen Begründung dafür melden, warum diese CVEs existieren. Diese Berichte enthalten in der Regel einen Aktionsplan zur Bewertung und Behebung des CVE. Die CVE-Berichtsanforderungen für PCI DSS führen granulare und monotone Gemeinkosten ein und nehmen Ihrem Engineering-Team mehr Stunden wertvolle Zeit.
Die Container-Images von Chainguard wurden entwickelt, um Ihren Engineering-, Sicherheits- und Compliance-Teams ihre Zeit und ihren Verstand zurückzugeben, damit sie sich auf das konzentrieren können, was am wichtigsten ist: den Aufbau und die Wartung von Weltklasse-Produkten und -Dienstleistungen. Unsere Container beginnen bei null CVEs und bleiben dort unter unserem Best-in-Class-Sanierungs-SLA (7 Tage für kritische CVEs, 14 Tage für hohe, mittlere und niedrige). Sie enthalten nur das, was zum Erstellen und Ausführen Ihrer Anwendung erforderlich ist, und entfernen überschüssige Komponenten, um die Bildangriffsfläche zu verkleinern. Und sie sind in einer gehärteten SLSA-Level-2-Umgebung gebaut und werden mit vollständigen Build-Time-SBOMs und Sigstore-Codesignaturen geliefert.
Über die Grenzen der Containersicherheit hinausgehen: FIPS und STIGs
Chainguard wollen die Best Practices für die Containerisierung auf den neuesten Stand bringen und sind daher bestrebt, über das hinauszugehen, was für die PCI DSS-Compliance erforderlich ist. Daher bieten wir funktional gleichwertige FIPS-validierte Container, gepaart mit Stig-Härtung auf OS-Ebene. Wenn wir unsere Bilder auf höchstem Niveau halten, können wir ein Produkt liefern, dem in sensiblen Umgebungen und Anwendungsfällen vertraut werden kann. Während diese Stufen der Verhärtung und Kryptographie von PCI DSS nicht benötigt werden, ist diese Art von Funktionalität ein weiterer Weg für Chainguard, um unseren Kunden ein Höchstmaß an Containersicherheit zu bieten.
Chainguard Images: Schwachstellenmanagement für PCI DSS v4.0 zu einem Breeze
Chainguard Images richten sich direkt an PCI DSS-Kontrollen aus, wodurch Engineering-, Compliance- und Sicherheitsteams den Aufwand und die Komplexität sparen, die mit der PCI DSS-Compliance einhergehen. Chainguard hat vielen Unternehmen geholfen, Compliance-Ziele zu erreichen – lassen Sie uns Ihnen helfen.
Share this article
Related articles
- security
Going deep: Upstream distros and hidden CVEs
Chainguard Research
- security
Chainguard + Second Front: A faster, more secure path into government markets
Ben Prouty, Principal Partner Sales Manager, Chainguard, and Veronica Lusetti, Senior Manager of Partnerships, Second Front
- security
This Shit is Hard: The life and death of a CVE in the Chainguard Factory
Patrick Smyth, Principal Developer Relations Enginee
- security
npm’s update to harden their supply chain, and points to consider
Adam La Morre, Senior Solutions Engineer
- security
Protect your AI workloads from supply chain attacks
Anushka Iyer, Product Marketing Manager
- security
Applying SOC 2 with Chainguard: A practical guide for DevOps and engineering leaders
Sam Katzen, Staff Product Marketing Manager