PCI-DSS 4.0 wird schneller kommen, als Sie denken, und es ist eine Gelegenheit, die Cyber-Resilienz Ihres Unternehmens zu verbessern
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Anfang dieses Jahres hat der PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung rollenbasierter Sicherheitsschulungen und regelmäßiger Schulungen zur sicheren Codierung für Entwickler.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
.png)
Die Macht der Marke in AppSec DevSec DevSecOps (Was ist in einem Acrynym!?)
Für eine dauerhafte Wirkung von AppSec-Programmen braucht es mehr als nur Technik - es braucht eine starke Marke. Eine starke Identität stellt sicher, dass Ihre Initiativen auf Resonanz stoßen und ein nachhaltiges Engagement innerhalb Ihrer Entwicklergemeinschaft fördern.
Vertrauensagent: AI von Secure Code Warrior
Dieser One-Pager stellt den SCW Trust Agent: AI vor, eine neue Reihe von Funktionen, die tiefgreifende Beobachtbarkeit und Kontrolle über KI-Codierwerkzeuge bieten. Erfahren Sie, wie unsere Lösung die Nutzung von KI-Tools mit den Fähigkeiten von Entwicklern korreliert, um Sie beim Risikomanagement zu unterstützen, Ihren SDLC zu optimieren und sicherzustellen, dass jede Zeile des von KI generierten Codes sicher ist.
Ressourcen für den Einstieg
.avif)
Sicheres Coding im Zeitalter der KI: Testen Sie unsere neuen interaktiven KI-Herausforderungen
KI-gestütztes Coding verändert die Entwicklung. Testen Sie unsere neuen KI-Herausforderungen im Copilot-Stil, um Code in realistischen Workflows sicher zu prüfen, zu analysieren und zu korrigieren.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
