パッチが適用されていないソフトウェアはPCI DSS 3.1に準拠していますか？

重大なバグについては、 PCI DSS 3.1クイックリファレンスガイド がこれを不明確な用語でカバーしていません：

6.2：該当するベンダー提供のセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアを既知の脆弱性から保護します。リリース後1か月以内に重要なセキュリティパッチをインストールします。

これは PCI DSS 3.2 （v3.1 PDFが見つかりませんでした）の公式ドキュメントに反映されており、まったく同じことを示しています。

6.2：ベンダー提供の適切なセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。リリース後1か月以内に重要なセキュリティパッチをインストールします。

注：重要なセキュリティパッチは、要件6.1で定義されたリスクランキングプロセスに従って特定する必要があります。

長い読みを保存するために、要件6.1のTL; DRは、ビジネス上の要因によって増幅された業界提供のCVSSスコアに基づいて重要度を測定する必要があることです。

より一般的に言えば、それらがPCIに違反しているかどうかの問題DSSが古くて脆弱なソフトウェアを実行している場合、QSAの決定に依存します。バグがマイナーである場合、そのような静的なコンテンツインジェクションの問題または軽微な情報開示として、QSAは、組織が問題を特定し、将来の解決のためにリスクレジスターに配置することを適切と見なす場合があります。ユーザーの操作）、QSAは、これをPCIの違反と見なす可能性がありますDSS彼らの裁量で。

EOLソフトウェアに関して、PCI DSSは具体的には言及していませんが、単に

すべてのシステムには、悪意のある個人や悪意のあるソフトウェアによるカード会員データの悪用や侵害から保護するための適切なソフトウェアパッチがすべて必要です。

これは、EOLソフトウェアの使用がカード会員データを扱う組織の責任になることを示しています。アプリケーションに脆弱性が見つかった場合、これを軽減するのは組織の責任です。これには、手動でアプリケーションにパッチを適用する（難しい、高価な）、セカンダリコントロールを提供する（アプリケーションをXenAppなどの隔離されたコンテナー環境に配置する）、またはソフトウェアを完全に置き換える必要がある場合があります。

詳細については、PCI DSSドキュメンテーションを自分で読むことをお勧めします。これは非常に長いドキュメントですが、懸念事項に該当するセクションにスキップすることができます。言語は非常に明確で、また、PCI DSSは、支払いカードデータの処理に関する賢明なセキュリティプラクティスを促進するために設計されたのみの標準であることに注意してください。独自の強力なセキュリティのレシピではないため、「PCI準拠」が必ずしも「安全」を意味するわけではありません。