نظرة عامة: المتطلب 6 من PCI DSS الإصدار 4.0
المتطلب 6 من PCI DSS الإصدار 4.0 — تطوير وصيانة الأنظمة والبرمجيات الآمنة — هو المتطلب الأكثر صلةً مباشرةً بالمؤسسات التي تستخدم أنابيب CI/CD لتسليم برمجيات تُعالج أو تُخزِّن أو تنقل بيانات حامل البطاقة. يُرسي هذا المتطلب التوقعات المتعلقة بممارسات التطوير الآمن وإدارة الثغرات وضبط التغيير واختبار أمن التطبيقات.
بالنسبة لضباط الامتثال والمدققين، يُعدّ فهم كيفية تعيين كل متطلب فرعي لضوابط CI/CD أمراً أساسياً لتطبيق الأنابيب المتوافقة والتحقق من الامتثال خلال التقييمات.
المتطلب الفرعي 6.1: إنشاء عمليات تطوير آمنة والحفاظ عليها
يُفرض المتطلب 6.1 على المؤسسات إنشاء عمليات لتحديد ثغرات الأمن وتطوير أنظمة وبرمجيات آمنة، وتوثيقها والحفاظ عليها.
الصلة بـ CI/CD
- دورة حياة التطوير الآمن (SDLC) الموثَّقة: يجب أن تتناول دورة SDLC صراحةً كيفية تطبيق أنابيب CI/CD لممارسات التطوير الآمن
- المراجعة السنوية لعمليات التطوير: يجب مراجعة ضوابط وتهيئات أمن الأنابيب سنوياً على الأقل وتحديثها عند تغيير البيئة
- تدريب موظفي التطوير: يجب تدريب الفرق على ممارسات الكتابة الآمنة وكيفية استخدام أدوات أمن الأنابيب بفعالية
الأدلة للتقييم
- سياسة SDLC الموثَّقة التي تُشير إلى ضوابط أمن CI/CD
- سجلات المراجعة السنوية مع التغييرات المحددة والموافقات عليها
- سجلات إتمام التدريب لموظفي التطوير
المتطلب الفرعي 6.2: تطوير البرمجيات بأمان
يتناول المتطلب 6.2 الممارسات الواجب اتباعها خلال تطوير البرمجيات، بما فيها الكتابة الآمنة ومراجعة الكود والاختبار الأمني.
الصلة بـ CI/CD
- معايير الكتابة الآمنة: تطبيق معايير الكتابة الآمنة عبر تطبيق القواعد الآلي من خلال أدوات تحليل الكود الثابت ضمن الأنابيب
- مراجعة الكود قبل الإصدار: مراجعة النظراء الإلزامية المطبَّقة من خلال حماية الفرع ومتطلبات طلب الدمج
- تكامل الاختبار الأمني: SAST وSCA وكشف الأسرار المُدمجة في الأنابيب مع معايير النجاح والفشل المحددة
- فصل بيئات التطوير والاختبار والإنتاج: يجب أن تُطبِّق معمارية الأنابيب عزل البيئات
الأدلة للتقييم
- تهيئة الأنابيب التي تُظهر مراحل المسح الأمني
- قواعد حماية الفرع التي تشترط مراجعة الكود
- نتائج المسح الأمني وسجلات تطبيق البوابة
- وثائق معمارية البيئة التي تُثبت العزل
المتطلب الفرعي 6.3: تحديد ثغرات الأمن وإدارتها
يركز المتطلب 6.3 على تحديد الثغرات وتصنيفها حسب المخاطر والمعالجة الفورية عبر جميع مكونات النظام.
الصلة بـ CI/CD
- مسح الثغرات في الكود المخصص: يجب أن يكون المسح الآلي للثغرات جزءاً من عملية البناء
- إدارة ثغرات مكونات الجهات الخارجية: يجب أن يحدد مسح التبعيات الثغرات المعروفة في المكتبات والأطر المُستهلَكة عبر الأنابيب
- المعالجة المصنَّفة حسب المخاطر: يجب أن تُطبِّق بوابات الأنابيب جداول المعالجة الزمنية بناءً على خطورة الثغرة (الثغرات الحرجة/العالية تحجب النشر)
- إدارة التصحيحات: يجب تصحيح بنية تحتية الأنابيب ذاتها (أدوات البناء والعمَّال وصور الحاويات) وتحديثها
تغييرات الإصدار 4.0 المحددة
يُدخِل PCI DSS الإصدار 4.0 متطلبات أكثر تفصيلاً حول الجداول الزمنية لإدارة الثغرات. يجب معالجة الثغرات الحرجة والعالية بسرعة، ويجب على المؤسسات تحديد جداول المعالجة الزمنية الخاصة بها واتباعها.
المتطلب الفرعي 6.4: حماية تطبيقات الويب المواجهة للعموم
يشترط المتطلب 6.4 حماية تطبيقات الويب المواجهة للعموم من الهجمات المعروفة، إما من خلال تقييمات الثغرات اليدوية/الآلية أو من خلال جدران حماية تطبيقات الويب.
الصلة بـ CI/CD
- تكامل DAST: يمكن دمج DAST في أنابيب النشر لبيئات الاختبار أو ما قبل الإنتاج
- أتمتة نشر WAF: نشر وتهيئة قواعد WAF المُدارة عبر الأنابيب
- جدولة تقييم الثغرات: تقييمات ثغرات آلية مُحفَّزة بالنشر أو وفق جداول محددة
تغييرات الإصدار 4.0 المحددة
يشترط PCI DSS الإصدار 4.0 (تحديداً 6.4.2) حلولاً تقنية آلية لتطبيقات الويب المواجهة للعموم تكشف وتمنع الهجمات القائمة على الويب باستمرار. هذا متطلب مؤجَّل التنفيذ أصبح إلزامياً بعد 31 مارس 2025.
المتطلب الفرعي 6.5: إدارة التغييرات على مكونات النظام
يُرسي المتطلب 6.5 متطلبات إدارة التغيير التي تحكم مباشرةً كيفية عمل أنابيب CI/CD.
الصلة بـ CI/CD
- إجراءات ضبط التغيير الموثَّقة: يجب أن تخضع الأنابيب ذاتها لإجراء ضبط تغيير موثَّق
- تحليل الأثر: يجب أن تتضمن التغييرات توثيقاً للأثر بما فيه الأثر الأمني
- الموافقة المصرَّح بها: يجب الموافقة رسمياً على جميع التغييرات في أنظمة الإنتاج من قِبَل موظفين مصرَّح لهم
- متطلبات الاختبار: يجب اختبار التغييرات قبل نشر الإنتاج مع التحقق من الاختبار عبر بوابات الأنابيب
- إجراءات التراجع: إجراءات موثَّقة للتراجع عن التغييرات التي تُسبِّب مشكلات
- فصل التطوير والاختبار والإنتاج: يجب أن تمنع معمارية الأنابيب وصول بيانات الاختبار أو تهيئات التطوير إلى الإنتاج
رسم خرائط شامل: المتطلب الفرعي إلى ضبط CI/CD
| المتطلب الفرعي لـ PCI DSS | ضبط CI/CD | الأدلة | طريقة التحقق لدى QSA |
|---|---|---|---|
| 6.1.1 — الأدوار الأمنية مُحدَّدة | أدوار RBAC للوصول إلى الأنابيب وتشغيلها | تعريفات الأدوار، تهيئة RBAC | مراجعة وثائق الأدوار؛ التحقق من مطابقة التهيئة |
| 6.1.2 — المراجعة السنوية للعملية | عملية مراجعة أمن الأنابيب السنوية | سجلات المراجعة، سجل التغيير، سجلات الموافقة | فحص وثائق المراجعة؛ تأكيد شمول النطاق لـ CI/CD |
| 6.2.1 — تدريب الكتابة الآمنة | تدريب المطورين على أدوات أمن الأنابيب والكتابة الآمنة | سجلات التدريب، شهادات الإتمام | أخذ عينات من سجلات التدريب؛ مقابلة المطورين |
| 6.2.2 — مراجعة الكود قبل الإنتاج | مراجعة النظراء الإلزامية عبر حماية الفرع | تهيئة حماية الفرع، سجلات طلبات الدمج | التحقق من التهيئة؛ أخذ عينات من طلبات الدمج للتأكد من شهادة المراجع |
| 6.2.3 — الاختبار الأمني في SDLC | SAST وSCA مدمجان في الأنابيب مع بوابات حاجبة | تهيئة الأنابيب، نتائج المسح، سجلات البوابات | مراجعة تعريف الأنابيب؛ أخذ عينات من سجلات البناء التي تُظهر تنفيذ المسح |
| 6.2.4 — تقنيات الكتابة الآمنة | تطبيق معايير الكتابة الآلي عبر أدوات التحليل الثابت وقواعد SAST | تهيئة الأدوات، مجموعات القواعد، سجلات التطبيق | مراجعة تهيئة القواعد؛ التحقق من التطبيق على بناءات نموذجية |
| 6.3.1 — تحديد الثغرات | مسح الثغرات الآلي في أنابيب البناء | تهيئة المسح، تقارير الثغرات | التحقق من تشغيل المسح على كل بناء؛ مراجعة تقارير نموذجية |
| 6.3.2 — الحفاظ على جرد البرمجيات | توليد SBOM عبر الأنابيب | قطع SBOM الأثرية، جرد التبعيات | التحقق من توليد SBOM؛ المقارنة مع المكونات المُنشرة |
| 6.3.3 — تطبيق التصحيحات والتحديثات في الوقت المناسب | كشف تحديثات التبعيات الآلي، تتبع اتفاقيات مستوى خدمة المعالجة | تقارير تقادم الثغرات، الجداول الزمنية للمعالجة | أخذ عينات من الثغرات؛ التحقق من المعالجة ضمن اتفاقيات مستوى الخدمة المحددة |
| 6.4.1 — كشف ثغرات تطبيقات الويب | تكامل DAST في أنابيب النشر | تهيئة DAST، نتائج المسح، سجلات المعالجة | التحقق من تنفيذ DAST؛ مراجعة النتائج والمعالجة |
| 6.5.1 — اتباع إجراءات ضبط التغيير | إدارة التغيير المُطبَّقة عبر الأنابيب مع موافقة إلزامية | سجلات النشر مع سجلات الموافقة | أخذ عينات من عمليات النشر؛ التحقق من الموافقة قبل التنفيذ |
| 6.5.2 — توثيق التغيير مكتمل | عناصر العمل المرتبطة وأوصاف الأثر وأدلة الاختبار في سجلات النشر | سجلات التغيير مع توثيق مكتمل | أخذ عينات من التغييرات؛ التحقق من اكتمال التوثيق |
| 6.5.3 — عزل بيئة الإنتاج | عزل بيئة الأنابيب، بيانات اعتماد منفصلة، تجزئة الشبكة | مخططات المعمارية، أدلة تهيئة العزل | مراجعة المعمارية؛ التحقق من ضوابط العزل |
| 6.5.4 — الفصل بين المهام | تطبيق الأنابيب الذي يمنع الموافقة الذاتية والنشر الذاتي | تهيئة الفصل بين المهام، تقارير التحقق | التحقق من التهيئة؛ أخذ عينات من عمليات النشر للامتثال للفصل |
| 6.5.5 — عدم استخدام أرقام البطاقات الحقيقية في الاختبار | إخفاء بيانات الأنابيب، ضوابط بيانات البيئة | إجراءات التعامل مع البيانات، إدارة بيانات الاختبار | مراجعة إجراءات بيانات الاختبار؛ التحقق من عدم وجود بيانات حية في البيئات الأدنى |
| 6.5.6 — إزالة بيانات الاختبار قبل الإنتاج | مراحل تنظيف الأنابيب، التحقق من نشر الإنتاج | إجراءات النشر، سجلات التحقق من التنظيف | مراجعة عملية النشر؛ التحقق من مراحل التنظيف |
متطلبات الإصدار 4.0 الجديدة التي تؤثر في CI/CD
النهج المخصَّص
يُدخِل PCI DSS الإصدار 4.0 “النهج المخصَّص” بديلاً عن “النهج المحدَّد” التقليدي. يمكن للمؤسسات استيفاء الهدف الأمني للمتطلب من خلال ضوابط بديلة، بشرط إثبات أن الضبط يُحقِّق الهدف المُعلَن. بالنسبة لبيئات CI/CD، يُوفِّر هذا مرونةً لتطبيق الضوابط الأصيلة للأنابيب بدلاً من تكييف الضوابط التقليدية.
ما يعنيه هذا لضباط الامتثال: إذا طبَّقت أنابيبك ضوابط تختلف عن المتطلب التفصيلي لكنها تُحقِّق الهدف الأمني ذاته، فقد يكون النهج المخصَّص مناسباً. غير أن ذلك يستلزم تحليل مخاطر موجَّهاً لكل ضبط مخصَّص وأدلة أكثر صرامة على الفعالية.
تحليل المخاطر الموجَّه
يشترط الإصدار 4.0 تحليلات مخاطر موجَّهة موثَّقة لمتطلبات محددة حيث تُحدِّد المؤسسة تكرار أو نطاق نشاط ضبط ما. بالنسبة لأنابيب CI/CD، يشمل ذلك:
- تكرار عمليات مسح الثغرات واختبارات الاختراق
- نطاق مراجعة الكود (أي التغييرات تستلزم المراجعة، وما مستواها)
- الجداول الزمنية للمعالجة لمستويات خطورة الثغرات المختلفة
- تكرار مراجعة الوصول لأنظمة الأنابيب
الارتباط بالمتطلبات الأخرى
| المتطلب المرتبط | الارتباط بـ CI/CD | الاعتبار الرئيسي |
|---|---|---|
| المتطلب 7 (ضبط الوصول) | يجب أن يتبع وصول الأنابيب مبادئ الحاجة إلى المعرفة والحد الأدنى من الصلاحيات | RBAC عبر جميع مكونات الأنابيب؛ تقييد الوصول إلى نشر الإنتاج |
| المتطلب 8 (المصادقة) | مصادقة قوية لجميع الوصول إلى أنظمة الأنابيب | MFA، تعقيد كلمة المرور، إدارة بيانات اعتماد حسابات الخدمة |
| المتطلب 10 (التسجيل والمراقبة) | يجب تسجيل جميع أنشطة الأنابيب ومراقبتها | مسارات التدقيق للنشر وأحداث الوصول وتغييرات التهيئة؛ سلامة السجلات |
| المتطلب 11 (الاختبار الأمني) | اختبار منتظم لضوابط أمن الأنابيب | نطاق اختبار الاختراق يشمل بنية تحتية CI/CD؛ مسح الثغرات لمكونات الأنابيب |
نتائج التقييم الشائعة في بيئات CI/CD
- عزل البيئات غير مكتمل: يمكن لأنابيب التطوير الوصول إلى شرائح شبكة الإنتاج أو استخدام بيانات اعتماد الإنتاج
- غياب مراجعة الكود لتغييرات تهيئة الأنابيب: كود التطبيق خاضع للمراجعة لكن ملفات تعريف الأنابيب (Jenkinsfiles، تهيئات YAML) لا تخضع للصرامة ذاتها
- انتهاكات اتفاقيات مستوى خدمة معالجة الثغرات: ثغرات معروفة في التبعيات تظل دون تصحيح بعد الجداول الزمنية المحددة
- تسجيل غير كافٍ لأنشطة الأنابيب: أحداث النشر مُسجَّلة لكن قرارات الموافقة وتجاوزات البوابة وتغييرات التهيئة تفتقر إلى مسارات تدقيق
- حسابات خدمة بنطاق مفرط: حسابات خدمة الأنابيب لها صلاحية وصول أوسع مما تستلزمه وظيفتها المحددة
- ثغرات إدارة بيانات الاختبار: الأنابيب لا تُطبِّق إخفاء البيانات أو تمنع استخدام بيانات حامل البطاقة الحية في بيئات الاختبار
- غياب توليد SBOM: لا يوجد تتبع منهجي للمكونات التابعة لجهات خارجية المُنشرة في بيئة بيانات حامل البطاقة
موارد ذات صلة
موارد ذات صلة للمدققين
- المسرد — تعريفات بلغة بسيطة للمصطلحات التقنية
- الضوابط الأمنية الأساسية لـ CI/CD
- الامتثال المستمر عبر CI/CD
- معمارية الامتثال المزدوج
هل أنت جديد على تدقيق CI/CD؟ ابدأ بـ دليل المدقق.
