Die FinServ-Konformität hängt von der Softwaresicherheit ab
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
Vorschriften für die Finanzdienstleistungsbranche wie PCI DSS unterstreichen die Bedeutung von Sicherheitscode und die Notwendigkeit, Entwickler in bewährten Sicherheitsverfahren zu schulen.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
Inhaltsverzeichnis
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
