Vorbereitung auf die Einhaltung von PCI-DSS 4.0

Veröffentlicht Apr 26, 2024
von
Fallstudie

Vorbereitung auf die Einhaltung von PCI-DSS 4.0

Veröffentlicht Apr 26, 2024
von
Ressource anzeigen
Ressource anzeigen

PDF-Version öffnen

Bewerten Sie Ihre Infrastruktur und Prozesse zur Unterstützung der PCI-DSS-Anforderungen

Wichtige Aktualisierungen und Zeitpläne für die neuen PCI-DSS 4.0-Anforderungen

PCI-DSS 4.0 führt Aktualisierungen ein, um die Sicherheit der Daten von Karteninhabern zu verbessern, wobei aktuelle Risiken und technologische Fortschritte in der Zahlungskartenbranche berücksichtigt werden. Die Überarbeitungen ermöglichen es Organisationen, individuelle Sicherheitsmaßnahmen zu ergreifen, wenn sie die Einhaltung der Sicherheitsziele nachweisen, die Mehrfaktor-Authentifizierung auf alle Zugriffe auf Karteninhaberdaten ausweiten und die Verschlüsselung in allen Netzwerken verstärken. Darüber hinaus wird mehr Wert auf eine kontinuierliche Risikoanalyse und -minderung sowie auf die Verbesserung der Fähigkeiten zur rechtzeitigen Erkennung von und Reaktion auf Sicherheitsvorfälle gelegt. Für diese neuen Anforderungen gibt es eine Übergangsfrist, die den Unternehmen Zeit gibt, die neue Version zu übernehmen und gleichzeitig die bestehenden Standards einzuhalten.

Warum CISOs den neuesten pci-dss Updates Priorität einräumen sollten

Die Einhaltung dieser aktualisierten Standards ist nicht nur entscheidend für die Einhaltung der Vorschriften, sondern auch für den Schutz vor neuen und aufkommenden Cyber-Bedrohungen und -Risiken. Durch die Umsetzung dieser Standards können Unternehmen gegen Verstöße gewappnet sein und so ihren Ruf schützen und potenziell hohe Geldstrafen für die Nichteinhaltung von Vorschriften vermeiden.

Datum des Inkrafttretens von DSS 4.0: März2024; aktualisiert bis März 2025.

PCI-DSS 4.0 unterstreicht die Bedeutung der Integration von kontinuierlichen Sicherheitsprozessen in den täglichen Geschäftsbetrieb

Compliance kann nicht nur eine einmalige Sache sein assessment. Dieser Ansatz ist für CISOs, die in ihren Unternehmen eine Kultur des Sicherheitsbewusstseins und des proaktiven Risikomanagements fördern sollen, von entscheidender Bedeutung. Die Umsetzung von PCI-DSS 4.0 trägt auch zur Steigerung des Geschäftswerts bei, indem eine robuste Sicherheitsinfrastruktur aufgebaut wird, die eine sichere Zahlungsumgebung unterstützt.

Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?

Entwickler sind ein integraler - aber oft nicht ausreichend genutzter - Teil des Erreichens eines hervorragenden Zustands der Software-Sicherheit. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren und als Teil ihres Standardansatzes bei der Erstellung von Software integrieren können.

Anforderung 6 des PCI DSS umreißt die Erwartungen an die Entwicklung und Pflege sicherer Software

Dies umfasst eine Vielzahl von Punkten, die von sicheren Entwicklungsstandards über Entwicklerschulungen bis hin zum Konfigurations- und Änderungskontrollmanagement reichen. Alle Organisationen, die Software entwickeln, die in einem Karteninhaberdatennetz (Cardholder Data Network, CHD) verwendet wird, müssen diese Vorgaben einhalten.

Wie in Anforderung 6.2.2 dargelegt, wird das Softwareentwicklungspersonal, das an maßgeschneiderter und kundenspezifischer Software arbeitet, mindestens einmal alle 12 Monate wie folgt geschult:

  • über Softwaresicherheit, die für ihre Tätigkeit und Entwicklungssprachen relevant ist.
  • Einschließlich sicheres Softwaredesign und sichere Kodierungstechniken.
  • Dazu gehört auch die Verwendung von Sicherheitstools zum Aufspüren von Schwachstellen in Software.

In der Norm heißt es weiter, dass die Schulung mindestens die folgenden Punkte umfassen sollte:

  • Eingesetzte Entwicklungssprachen
  • Sicheres Software-Design
  • Sichere Kodierungstechniken
  • Anwendung von Techniken/Methoden zum Auffinden von Schwachstellen im Code
  • Verfahren zur Verhinderung der Wiedereinführung von bereits behobenen Schwachstellen

Darüber hinaus sollten die Entwickler mit ALLEN Angriffstechniken vertraut sein (siehe Anforderung 6.2.4.) Dazu gehört eine Liste von Angriffskategorien, die als Beispiele dienen sollen:

  • Injektionsangriffe, einschließlich SQL-, LDAP-, XPath- oder andere Befehls-, Parameter-, Objekt-, Fehler- oder Injektionsfehler.
  • Angriffe auf Daten und Datenstrukturen, einschließlich Versuche, Puffer, Zeiger, Eingabedaten oder gemeinsam genutzte Daten zu manipulieren.
  • Angriffe auf die Verwendung von Kryptografie, einschließlich Versuche, schwache, unsichere oder ungeeignete kryptografische Implementierungen, Algorithmen, Chiffriersuiten oder Betriebsarten auszunutzen.
  • Angriffe auf die Geschäftslogik, einschließlich Versuchen, Anwendungsmerkmale und -funktionen durch die Manipulation von APIs, Kommunikationsprotokollen und -kanälen, clientseitigen Funktionen oder anderen System-/Anwendungsfunktionen und -ressourcen zu missbrauchen oder zu umgehen. Dazu gehören Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF).
  • Angriffe auf Zugangskontrollmechanismen, einschließlich Versuche, Identifizierungs-, Authentifizierungs- oder Autorisierungsmechanismen zu umgehen oder zu missbrauchen, oder Versuche, Schwächen in der Implementierung solcher Mechanismen auszunutzen.
  • Angriffe über "hochriskante" Schwachstellen, die bei der Identifizierung von Schwachstellen im Sinne der Randnummer 6.3.1 festgestellt wurden.

Wie Secure Code Warrior Ihnen helfen kann, PCI-DSS 4.0 zu erfüllen

Die effektivste Option für die Schulung ist eine agile learning platform , bei der die Einhaltung der Vorschriften ein Produkt eines übergreifenden Programms zum Erlernen von sicherem Code ist. Konkret kann Secure Code Warrior Ihrem Unternehmen helfen, Schwachstellen zu reduzieren und die Produktivität der Entwickler zu steigern:

  • Vermittlung eines soliden, konsistenten Verständnisses für die Sicherheit von PCI-Daten durch Beseitigung von Wissenslücken und präzise Schulungen in den Sprachen und Frameworks, die Ihre Entwickler verwenden. Sehen Sie mehr über unser Learning Platform.
  • Wir bieten einen kontinuierlichen, gemessenen und etablierten Prozess zur Überprüfung der Fähigkeiten, um sicherzustellen, dass die Schulung aufgenommen und in die Praxis umgesetzt wurde. Erfahren Sie mehr über unsere vorgefertigten Schulungsprogramme für sicheren Code für Entwickler.
  • Durchführung von Schulungen mittels agiler Lernmethoden, die zeitlich und inhaltlich begrenzte Lernimpulse bieten. Allgemeine, unregelmäßige Schulungen sind nicht mehr praktikabel und haben nicht die gewünschte Wirkung auf die Reduzierung von Schwachstellen. Erfahren Sie mehr über die von uns unterstützten Schwachstellen.
  • Unterstützung bei der Dokumentation von Sicherheitsschulungen und Kodierungsstandards, die für den Nachweis der Konformität bei PCI-DSS-Audits nützlich sind. Eine detailliertere Aufschlüsselung von PCI-DSS 4.0 finden Sie in unserem Whitepaper, PCI DSS 4.0 Unraveled.

PDF-Version öffnen

Ressource anzeigen
Ressource anzeigen

Autor

Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge

Vorbereitung auf die Einhaltung von PCI-DSS 4.0

Veröffentlicht Apr 26, 2024
Unter

PDF-Version öffnen

Bewerten Sie Ihre Infrastruktur und Prozesse zur Unterstützung der PCI-DSS-Anforderungen

Wichtige Aktualisierungen und Zeitpläne für die neuen PCI-DSS 4.0-Anforderungen

PCI-DSS 4.0 führt Aktualisierungen ein, um die Sicherheit der Daten von Karteninhabern zu verbessern, wobei aktuelle Risiken und technologische Fortschritte in der Zahlungskartenbranche berücksichtigt werden. Die Überarbeitungen ermöglichen es Organisationen, individuelle Sicherheitsmaßnahmen zu ergreifen, wenn sie die Einhaltung der Sicherheitsziele nachweisen, die Mehrfaktor-Authentifizierung auf alle Zugriffe auf Karteninhaberdaten ausweiten und die Verschlüsselung in allen Netzwerken verstärken. Darüber hinaus wird mehr Wert auf eine kontinuierliche Risikoanalyse und -minderung sowie auf die Verbesserung der Fähigkeiten zur rechtzeitigen Erkennung von und Reaktion auf Sicherheitsvorfälle gelegt. Für diese neuen Anforderungen gibt es eine Übergangsfrist, die den Unternehmen Zeit gibt, die neue Version zu übernehmen und gleichzeitig die bestehenden Standards einzuhalten.

Warum CISOs den neuesten pci-dss Updates Priorität einräumen sollten

Die Einhaltung dieser aktualisierten Standards ist nicht nur entscheidend für die Einhaltung der Vorschriften, sondern auch für den Schutz vor neuen und aufkommenden Cyber-Bedrohungen und -Risiken. Durch die Umsetzung dieser Standards können Unternehmen gegen Verstöße gewappnet sein und so ihren Ruf schützen und potenziell hohe Geldstrafen für die Nichteinhaltung von Vorschriften vermeiden.

Datum des Inkrafttretens von DSS 4.0: März2024; aktualisiert bis März 2025.

PCI-DSS 4.0 unterstreicht die Bedeutung der Integration von kontinuierlichen Sicherheitsprozessen in den täglichen Geschäftsbetrieb

Compliance kann nicht nur eine einmalige Sache sein assessment. Dieser Ansatz ist für CISOs, die in ihren Unternehmen eine Kultur des Sicherheitsbewusstseins und des proaktiven Risikomanagements fördern sollen, von entscheidender Bedeutung. Die Umsetzung von PCI-DSS 4.0 trägt auch zur Steigerung des Geschäftswerts bei, indem eine robuste Sicherheitsinfrastruktur aufgebaut wird, die eine sichere Zahlungsumgebung unterstützt.

Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?

Entwickler sind ein integraler - aber oft nicht ausreichend genutzter - Teil des Erreichens eines hervorragenden Zustands der Software-Sicherheit. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren und als Teil ihres Standardansatzes bei der Erstellung von Software integrieren können.

Anforderung 6 des PCI DSS umreißt die Erwartungen an die Entwicklung und Pflege sicherer Software

Dies umfasst eine Vielzahl von Punkten, die von sicheren Entwicklungsstandards über Entwicklerschulungen bis hin zum Konfigurations- und Änderungskontrollmanagement reichen. Alle Organisationen, die Software entwickeln, die in einem Karteninhaberdatennetz (Cardholder Data Network, CHD) verwendet wird, müssen diese Vorgaben einhalten.

Wie in Anforderung 6.2.2 dargelegt, wird das Softwareentwicklungspersonal, das an maßgeschneiderter und kundenspezifischer Software arbeitet, mindestens einmal alle 12 Monate wie folgt geschult:

  • über Softwaresicherheit, die für ihre Tätigkeit und Entwicklungssprachen relevant ist.
  • Einschließlich sicheres Softwaredesign und sichere Kodierungstechniken.
  • Dazu gehört auch die Verwendung von Sicherheitstools zum Aufspüren von Schwachstellen in Software.

In der Norm heißt es weiter, dass die Schulung mindestens die folgenden Punkte umfassen sollte:

  • Eingesetzte Entwicklungssprachen
  • Sicheres Software-Design
  • Sichere Kodierungstechniken
  • Anwendung von Techniken/Methoden zum Auffinden von Schwachstellen im Code
  • Verfahren zur Verhinderung der Wiedereinführung von bereits behobenen Schwachstellen

Darüber hinaus sollten die Entwickler mit ALLEN Angriffstechniken vertraut sein (siehe Anforderung 6.2.4.) Dazu gehört eine Liste von Angriffskategorien, die als Beispiele dienen sollen:

  • Injektionsangriffe, einschließlich SQL-, LDAP-, XPath- oder andere Befehls-, Parameter-, Objekt-, Fehler- oder Injektionsfehler.
  • Angriffe auf Daten und Datenstrukturen, einschließlich Versuche, Puffer, Zeiger, Eingabedaten oder gemeinsam genutzte Daten zu manipulieren.
  • Angriffe auf die Verwendung von Kryptografie, einschließlich Versuche, schwache, unsichere oder ungeeignete kryptografische Implementierungen, Algorithmen, Chiffriersuiten oder Betriebsarten auszunutzen.
  • Angriffe auf die Geschäftslogik, einschließlich Versuchen, Anwendungsmerkmale und -funktionen durch die Manipulation von APIs, Kommunikationsprotokollen und -kanälen, clientseitigen Funktionen oder anderen System-/Anwendungsfunktionen und -ressourcen zu missbrauchen oder zu umgehen. Dazu gehören Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF).
  • Angriffe auf Zugangskontrollmechanismen, einschließlich Versuche, Identifizierungs-, Authentifizierungs- oder Autorisierungsmechanismen zu umgehen oder zu missbrauchen, oder Versuche, Schwächen in der Implementierung solcher Mechanismen auszunutzen.
  • Angriffe über "hochriskante" Schwachstellen, die bei der Identifizierung von Schwachstellen im Sinne der Randnummer 6.3.1 festgestellt wurden.

Wie Secure Code Warrior Ihnen helfen kann, PCI-DSS 4.0 zu erfüllen

Die effektivste Option für die Schulung ist eine agile learning platform , bei der die Einhaltung der Vorschriften ein Produkt eines übergreifenden Programms zum Erlernen von sicherem Code ist. Konkret kann Secure Code Warrior Ihrem Unternehmen helfen, Schwachstellen zu reduzieren und die Produktivität der Entwickler zu steigern:

  • Vermittlung eines soliden, konsistenten Verständnisses für die Sicherheit von PCI-Daten durch Beseitigung von Wissenslücken und präzise Schulungen in den Sprachen und Frameworks, die Ihre Entwickler verwenden. Sehen Sie mehr über unser Learning Platform.
  • Wir bieten einen kontinuierlichen, gemessenen und etablierten Prozess zur Überprüfung der Fähigkeiten, um sicherzustellen, dass die Schulung aufgenommen und in die Praxis umgesetzt wurde. Erfahren Sie mehr über unsere vorgefertigten Schulungsprogramme für sicheren Code für Entwickler.
  • Durchführung von Schulungen mittels agiler Lernmethoden, die zeitlich und inhaltlich begrenzte Lernimpulse bieten. Allgemeine, unregelmäßige Schulungen sind nicht mehr praktikabel und haben nicht die gewünschte Wirkung auf die Reduzierung von Schwachstellen. Erfahren Sie mehr über die von uns unterstützten Schwachstellen.
  • Unterstützung bei der Dokumentation von Sicherheitsschulungen und Kodierungsstandards, die für den Nachweis der Konformität bei PCI-DSS-Audits nützlich sind. Eine detailliertere Aufschlüsselung von PCI-DSS 4.0 finden Sie in unserem Whitepaper, PCI DSS 4.0 Unraveled.

PDF-Version öffnen

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Senden
Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge