PCI-DSS 4.0 wird schneller kommen, als Sie denken, und es ist eine Gelegenheit, die Cyber-Resilienz Ihres Unternehmens zu verbessern
PCI-DSS 4.0 wird schneller kommen, als Sie denken, und es ist eine Gelegenheit, die Cyber-Resilienz Ihres Unternehmens zu verbessern
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Pieter Danhieux
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Verwandte Artikel, die wir empfehlen
Verwandte Artikel, die wir empfehlen
Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.
Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.
Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit
Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.
PCI-DSS 4.0 wird schneller kommen, als Sie denken, und es ist eine Gelegenheit, die Cyber-Resilienz Ihres Unternehmens zu verbessern
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
