Únase a nosotros en la conversación con Vis Chirravuri para conocer de primera mano cómo ha desarrollado enfoques de personas, procesos y tecnología para su programa de aprendizaje de código seguro

En esta era de DevSecOps, entrega continua y más datos que nunca, las organizaciones astutas ayudan a desarrolladores como usted a convertirse en superestrellas conscientes de la seguridad que ayudan a eliminar las vulnerabilidades comunes antes de que lleguen a la producción. Cuando se produce código de alta calidad sin esos molestos y llamativos errores, no solo es más seguro para el usuario final, sino que también se reduce la necesidad de tener que volver a trabajar y causar menos interrupciones. Los capítulos siguientes se centrarán en algunos de los peores errores de seguridad relacionados con las interfaces de programación de aplicaciones (API). Son tan frecuentes que figuran en la nueva lista de las principales vulnerabilidades de las API del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) de 2023. Dada la importancia de las API para las infraestructuras informáticas modernas, se trata de problemas críticos que debe mantener fuera de sus aplicaciones y programas a toda costa.

Explore este nuevo libro electrónico para obtener más información sobre:

• Cómo funciona cada una de las 10 principales vulnerabilidades de la API y cómo puede explotarlas un atacante
• Qué aspecto tienen y cómo puedes solucionarlos con buenos patrones de codificación (¡con enlaces a desafíos reales y prácticos!)
• Cómo gestionar la seguridad al ritmo de la innovación en su trabajo diario.

‍

PCI DSS 4.0 enträtselt: Ergreifen Sie die Gelegenheit, Entwickler in Sachen Sicherheit zu schulen

Wenn Sie ein AppSec- oder Entwicklungsmanager sind, haben Sie wahrscheinlich schon bemerkt, dass die meisten Entwickler von der Aussicht auf Compliance-Schulungen nicht begeistert sind. Schon bei dem Wort "Compliance" unterdrücken die meisten ein Gähnen. Es handelt sich jedoch um eine lebenswichtige Übung, und wir müssen mehr tun, um die Herzen und Köpfe der Entwickler zu erobern.

Sichere Softwareentwicklung ist nicht länger ein "nice to have" in jedem Unternehmen, sondern sollte in jeder Organisation an erster Stelle stehen. Und wenn dieses Unternehmen über große Mengen sensibler Kundendaten verfügt, ist es reif für die Ernte, wenn es um kostspielige Cyberangriffe geht. Die Entwickler sind die ersten, die mit dem Code in Berührung kommen, und sollten daher ebenso wie der Rest des Teams in die Maßnahmen zur Einhaltung der Sicherheitsvorschriften einbezogen werden.

Dies ist eine Gelegenheit für Entwickler und AppSec-Fachleute, sich zusammenzuschließen, um einen höheren Code-Standard zu erreichen. Langsam erkennt die Welt, dass Entwickler bisher nicht gerade die richtigen Tools zur Verfügung hatten, um der Sicherheit Priorität einzuräumen (und dass isolierte Sicherheitsspezialisten die Verantwortung nicht allein tragen können). Da sich die Branche jedoch auf eine KI-gestützte DevSecOps-Zukunft zubewegt, in der die Sicherheit eine gemeinsame Verantwortung darstellt, können sie die erforderlichen Fähigkeiten aufbauen, um den Strom wiederkehrender Sicherheitslücken einzudämmen.

Der Termin 2025 für die Einhaltung von PCI DSS 4.0 ist die bisher größte Chance für die Branche, Entwicklern die Fähigkeiten und den technischen Hintergrund zu vermitteln, die erforderlich sind, um die Software-Sicherheit von Grund auf positiv zu beeinflussen. Diese neuesten Richtlinien sind die bisher flexibelsten, und es ist jetzt an der Zeit, ein starkes, individuelles Sicherheitsprogramm zu erstellen, das die Entwickler in die Lage versetzt, sinnvolle Veränderungen herbeizuführen.

Lesen Sie den praktischen Leitfaden, wie Sie Ihr Entwicklungsteam zur Einhaltung des PCI DSS bringen, einschließlich

• Was von einem modernen Entwickler verlangt wird, um die PCI DSS 4.0-Konformität zu erreichen.
• Wie Sicherheitsexperten und Entwicklungsmanager zusammenarbeiten können, um beeindruckende, entwicklergesteuerte Sicherheitsprogramme aufzubauen.
• Schritt-für-Schritt-Empfehlungen für die wirksamsten und lohnendsten Schulungsinitiativen, um Schwachstellen endgültig zu beseitigen.

‍

Evalúe su infraestructura y sus procesos para cumplir con los requisitos de PCI-DSS

Actualizaciones y plazos clave para los nuevos requisitos de PCI-DSS 4.0

El PCI-DSS 4.0 presenta actualizaciones para mejorar la seguridad de los datos de los titulares de tarjetas, abordando los riesgos actuales y los avances tecnológicos en la industria de las tarjetas de pago. Las revisiones permiten a las organizaciones adoptar medidas de seguridad personalizadas si demuestran que cumplen con los objetivos de seguridad, ampliando la autenticación multifactor a todos los accesos en el entorno de datos de los titulares de tarjetas y reforzando el cifrado en todas las redes. Además, se hace mayor hincapié en el análisis y la mitigación continuos de los riesgos y en la mejora de las capacidades para detectar y responder oportunamente a los incidentes de seguridad. Estos nuevos requisitos tienen un período de transición para que las organizaciones tengan tiempo de adoptar la nueva versión y, al mismo tiempo, mantener el cumplimiento de los estándares existentes.

Por qué los CISO deben priorizar las últimas actualizaciones de pci-dss

El cumplimiento de estos estándares actualizados es crucial no solo para mantener el cumplimiento, sino también para protegerse contra las ciberamenazas y los riesgos nuevos y emergentes. Al implementar estos estándares, las organizaciones pueden ser resilientes frente a las infracciones, protegiendo así su reputación y evitando multas potencialmente elevadas en caso de incumplimiento.

Fecha de entrada en vigor del DSS 4.0: marzo de 2024; actualizado en marzo de 2025.

PCI-DSS 4.0 enfatiza la importancia de integrar procesos de seguridad continuos en las operaciones comerciales diarias

El cumplimiento no puede ser solo una evaluación única. Este enfoque es vital para los CISO encargados de fomentar una cultura de concienciación sobre la seguridad y una gestión proactiva de los riesgos en sus organizaciones. La adopción del PCI-DSS 4.0 también ayuda a impulsar el valor empresarial al crear una infraestructura de seguridad sólida que sustenta los entornos de pago seguros y protegidos.

¿Están sus desarrolladores preparados para ofrecer software compatible?

Los desarrolladores representan una parte integral, aunque a menudo infrautilizada, para alcanzar un estado de excelencia en seguridad de software. Es crucial que los desarrolladores comprendan el panorama más amplio de PCI DSS 4.0 y lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.

El requisito 6 de la PCI DSS describe las expectativas para desarrollar y mantener un software seguro

Esto incluye una variedad de elementos que van desde estándares de desarrollo seguros hasta la capacitación de desarrolladores y la administración del control de cambios y configuración. Todas las organizaciones que desarrollen software que se utilice en una red de datos para titulares de tarjetas (CHD) deben cumplir con estos mandatos.

Como se describe en el requisito 6.2.2, el personal de desarrollo de software que trabaja en software a medida y personalizado recibe al menos una vez cada 12 meses la siguiente formación:

• Sobre la seguridad del software relevante para su función laboral y los lenguajes de desarrollo.
• Incluye diseño de software seguro y técnicas de codificación seguras.
• Incluyendo cómo usar las herramientas de prueba de seguridad para detectar vulnerabilidades en el software.

La norma describe además que la formación debe incluir al menos los siguientes elementos:

• Lenguajes de desarrollo en uso
• Diseño de software seguro
• Techniken zur sicheren Verschlüsselung
• Uso de técnicas/métodos para encontrar vulnerabilidades en el código
• Procesos para evitar la reintroducción de vulnerabilidades previamente resueltas

Además, los desarrolladores deben estar familiarizados con TODAS las técnicas de ataque (descritas en el requisito 6.2.4). Esto incluye una lista de categorías de ataque diseñadas para servir de ejemplo:

• Ataques de inyección, incluidos errores de SQL, LDAP, XPath u otros errores de comando, parámetro, objeto, error o tipo inyección.
• Ataques a datos y estructuras de datos, incluidos los intentos de manipular búferes, punteros, datos de entrada o datos compartidos.
• Ataques al uso de la criptografía, incluidos los intentos de aprovechar implementaciones criptográficas, algoritmos, conjuntos de cifrado o modos de operación débiles, inseguros o inapropiados.
• Ataques a la lógica empresarial, incluidos los intentos de abusar o eludir las características y funcionalidades de las aplicaciones mediante la manipulación de las API, los protocolos y canales de comunicación, la funcionalidad del lado del cliente u otras funciones y recursos del sistema o la aplicación. Esto incluye la creación de scripts entre sitios (XSS) y la falsificación de solicitudes entre sitios (CSRF).
• Ataques a los mecanismos de control de acceso, incluidos los intentos de eludir o abusar de los mecanismos de identificación, autenticación o autorización, o los intentos de aprovechar las debilidades en la implementación de dichos mecanismos.
• Ataques a través de cualquier vulnerabilidad de «alto riesgo» identificada en el proceso de identificación de vulnerabilidades, tal como se define en el requisito 6.3.1.

Cómo Secure Code Warrior puede ayudarlo a cumplir con PCI-DSS 4.0

La opción más eficaz para la formación es una plataforma de aprendizaje ágil en la que el cumplimiento se convierte en un subproducto de un programa global de aprendizaje de código seguro. En concreto, Secure Code Warrior puede ayudar a su empresa a reducir las vulnerabilidades y lograr una mayor productividad de los desarrolladores al:

• Brindar una comprensión sólida y consistente de cómo mantener seguros los datos de PCI abordando las brechas de conocimiento y proporcionando una formación precisa en los lenguajes y marcos que utilizan sus desarrolladores. Obtenga más información en nuestro Plataforma de aprendizaje.
• Ofrecer un proceso de verificación de habilidades continuo, mesurado y establecido para garantizar que la capacitación se haya absorbido y puesto en práctica. Obtenga más información sobre nuestros productos listos para usar itinerarios de formación en código seguro para desarrolladores.
• Llevar a cabo la formación mediante métodos de aprendizaje ágiles que proporcionan microráfagas de aprendizaje contextuales y justo a tiempo. La capacitación genérica y poco frecuente ya no es viable y no tendrá el impacto deseado en la reducción de la vulnerabilidad. Obtenga más información sobre nuestros vulnerabilidades compatibles.
• Ayuda a documentar la formación en seguridad y los estándares de codificación, lo que resulta útil para demostrar el cumplimiento durante las auditorías de PCI-DSS. Para obtener un desglose más detallado del PCI-DSS 4.0, consulte nuestro documento técnico, PCI DSS 4.0 desvelado.

‍

Soporte experto que hace que la codificación segura se mantenga

SCW Professional Services aporta un profundo conocimiento del dominio a cada etapa de su programa. Nuestro equipo de antiguos profesionales de la seguridad utiliza un enfoque basado en el riesgo para acelerar el éxito.

• Confíe en una experiencia probada en batalla, sin conjeturas, solo información del mundo real
• Aplicar una metodología basada en el riesgo para la reducción del riesgo de los desarrolladores
• Personalice la implementación y la capacitación para sus equipos, herramientas y cultura
• Haga evolucionar su programa con revisiones continuas y seguimiento del ROI

Ya sea que recién esté comenzando o llevando su programa al siguiente nivel, estamos aquí para ayudarlo a tener éxito más rápido y con un impacto duradero.

‍