Les images Chainguard sont la norme de référence pour PCI DSS v4.0
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) v4.0 est un ensemble de règles de sécurité élaborées pour protéger les données des consommateurs lors du stockage, du traitement et de la transmission des informations relatives aux titulaires de cartes et des données d'authentification sensibles. Ces normes sont rédigées et appliquées par les grands acteurs du traitement des cartes (Mastercard, Discover, Visa et autres) et doivent être mises en œuvre par toute entreprise qui accepte des paiements par carte de débit ou de crédit, qui fait appel à un fournisseur externe pour accepter des paiements par carte de débit ou de crédit ou qui gère des informations sur les titulaires de cartes ou des données d'autorisation. La norme PCI DSS v4.0 est entrée en vigueur en avril 2024 et devient obligatoire à partir d'avril 2025. La non-conformité peut entraîner des amendes, des pénalités ou, dans le pire des cas, l'impossibilité de traiter les paiements.
Chainguard Images n'est pas une solution complète pour l'ensemble du cadre PCI DSS, mais il résout quelques domaines importants de la conformité autour de la sécurité des conteneurs. En particulier, Chainguard aide à simplifier la gestion des actifs et la gestion des vulnérabilités. Nos images vont également au-delà de ce qui est requis, avec un renforcement de niveau STIG et une cryptographie FIPS. Dans ce blog, nous allons approfondir chacun de ces contrôles clés PCI DSS.
Gestion des actifs : Comprendre l'inventaire de votre chaîne d'approvisionnement en logiciels
Comme pour d'autres cadres de conformité, l'une des premières étapes de la norme PCI DSS v4.0 consiste à identifier l'étendue de ce qui doit être sécurisé. Dans le cadre de la norme PCI DSS, les équipes d'ingénierie et de conformité doivent dresser un inventaire complet des composants de première et de tierce parties qui constituent l'environnement des données du titulaire de la carte (CDE), ainsi que de tous les composants susceptibles d'avoir un impact sur la sécurité du CDE. Il s'agit d'une tâche fastidieuse et chronophage qui nécessite l'engagement de personnel de l'équipe d'ingénierie, obligeant les développeurs à s'éloigner du travail important sur le produit pour passer du temps à créer des nomenclatures logicielles détaillées (SBOM), à capturer la matière noire logicielle et à identifier manuellement les lacunes de sécurité dans leur CDE, où les risques peuvent proliférer.
Chainguard Images simplifie ce processus. Nos images sont livrées avec des SBOMs complets sous forme de code qui sont conçus pour éliminer une grande partie du travail manuel nécessaire à l'analyse de l'empreinte de votre conteneur. Les SBOMs de Chainguard sont agnostiques - les utilisateurs peuvent utiliser presque n'importe quel outil d'analyse de la composition logicielle (SCA) et générer des résultats d'analyse cohérents tout en capturant et en documentant la matière noire logicielle. De plus, nos conteneurs sont continuellement mis à jour, ce qui évite aux utilisateurs de devoir procéder à des migrations logicielles majeures et à des accréditations. Rassembler les pièces du puzzle : Chainguard fait abstraction de près de 100 % de la complexité de la gestion des actifs liés aux conteneurs et des contrôles pour la conformité à la norme PCI DSS.
Gestion des vulnérabilités et reporting : Le cœur de la conformité PCI DSS
L'une des exigences les plus importantes et les plus chronophages de la norme PCI DSS v4.0 concerne les contrôles de gestion des vulnérabilités et expositions communes (CVE). Selon le contrôle 11.3.1, toutes les CVE doivent être identifiées, évaluées et gérées. Cela signifie que les entreprises sont tenues de remédier à tous les CVE dans leur environnement afin d'être conformes. Les CVE critiques et élevés doivent être remédiés dans un délai strict de 30 jours, conformément au contrôle 6.3.3. Comme nous l'avons déjà dit, l'identification, le triage et la remédiation des CVE est un processus qui prend du temps et qui peut priver votre équipe d'ingénieurs de centaines d'heures (ou plus). C'est également un processus extrêmement coûteux, dont la maintenance peut coûter des centaines de milliers, voire des millions de dollars par an si vous vous en chargez vous-même.
La norme PCI DSS v4.0 exige également que les entreprises ne se contentent pas de remédier aux CVE en temps voulu, mais qu'elles documentent et signalent en permanence les CVE identifiés. Conformément au contrôle 2.2.5, les entreprises doivent signaler tous les CVE découverts dans leur environnement, en justifiant leur existence. Ces rapports comprennent généralement un plan d'action pour l'évaluation et la correction du CVE. Les exigences de déclaration des CVE pour PCI DSS introduisent des frais généraux granulaires et monotones, et prennent plus d'heures du temps précieux de votre équipe d'ingénieurs.
Les images de conteneurs de Chainguard sont conçues pour redonner à vos équipes d'ingénierie, de sécurité et de conformité leur temps et leur santé mentale, afin qu'elles puissent se concentrer sur ce qui compte le plus : construire et maintenir des produits et des services de classe mondiale. Nos conteneurs commencent à zéro CVE et le restent grâce à notre SLA de remédiation, le meilleur de sa catégorie (7 jours pour les CVE critiques, 14 jours pour les CVE élevés, moyens et faibles). Elles n'incluent que ce qui est nécessaire pour construire et exécuter votre application, en éliminant les composants superflus pour réduire la surface d'attaque de l'image. De plus, ils sont construits dans un environnement SLSA de niveau 2 et sont livrés avec des SBOM complets et des signatures de code Sigstore.
Aller plus loin dans la sécurité des conteneurs : FIPS et STIGs
Chainguard veut pousser la pointe des meilleures pratiques de conteneurisation, s'efforçant ainsi d'aller au-delà de ce qui est requis pour la conformité PCI DSS. Ainsi, nous proposons des conteneurs équivalents sur le plan fonctionnel, validés par FIPS, associés à un durcissement STIG au niveau du système d'exploitation. Le fait de soumettre nos images aux normes les plus strictes nous aide à fournir un produit fiable dans les environnements et les cas d'utilisation sensibles. Bien que ces niveaux de renforcement et de cryptographie ne soient pas requis par la norme PCI DSS, ce type de fonctionnalité est un autre moyen pour Chainguard de fournir le plus haut niveau de sécurité des conteneurs pour nos clients.
Images Chainguard
Les images Chainguard s'alignent directement sur les contrôles PCI DSS, évitant aux équipes d'ingénierie, de conformité et de sécurité les frais généraux et la complexité liés à la conformité PCI DSS. Chainguard a aidé de nombreuses entreprises à atteindre leurs objectifs de conformité - laissez-nous vous aider.
Share this article
Articles connexes
- security
Secure-by-default: Chainguard customers unaffected by the Trivy supply chain attack
Reid Tatoris, VP of Product
- security
Going deep: Upstream distros and hidden CVEs
Chainguard Research
- security
Chainguard + Second Front: A faster, more secure path into government markets
Ben Prouty, Principal Partner Sales Manager, Chainguard, and Veronica Lusetti, Senior Manager of Partnerships, Second Front
- security
This Shit is Hard: The life and death of a CVE in the Chainguard Factory
Patrick Smyth, Principal Developer Relations Enginee
- security
npm’s update to harden their supply chain, and points to consider
Adam La Morre, Senior Solutions Engineer
- security
Protect your AI workloads from supply chain attacks
Anushka Iyer, Product Marketing Manager