PCI-DSS 4.0은 생각보다 빨리 출시될 것이며 조직의 사이버 복원력을 향상시킬 수 있는 기회입니다.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
올해 초 PCI 보안 표준 위원회는 결제 카드 산업 데이터 보안 표준 (PCI DSS) 의 버전 4.0을 공개했습니다.2025년 3월까지 조직에서 4.0을 완벽하게 준수할 필요는 없지만, 이번 업데이트는 현재까지 나온 것 중 가장 혁신적인 업데이트이므로 대부분의 기업은 복잡한 보안 프로세스와 기술 스택의 요소를 평가 (그리고 업그레이드할 가능성이 높음) 해야 합니다.여기에는 개발자를 위한 역할 기반 보안 인식 교육 및 정기적인 보안 코딩 교육도 추가로 실시됩니다.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
