Durch angemessene Unterstützung können Entwickler ihr Unternehmen zu einer hervorragenden PCI DSS 4.0-Konformität führen.
Eine Version dieses Artikels wurde ursprünglich auf veröffentlicht. DZone. Hier aktualisiert und syndiziert.
Die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) verändert fast alles, was die Sicherheit von Unternehmen oder Organisationen betrifft, die elektronische Zahlungen akzeptieren (die meisten). Diese Aktualisierung wird für die meisten Unternehmen eine bahnbrechende Veränderung mit sich bringen, und Unternehmen müssen möglicherweise viele Sicherheitsprozesse aktualisieren und neue Schutzfunktionen für Verschlüsselung, Authentifizierung, Zugriffskontrolle, Schlüsselverwaltung und andere Bereiche einführen, deren Einführung bisher nur langsam vorangekommen ist.
Aufgrund der Komplexität der neuen Anforderungen müssen Unternehmen bis März 2025 die Vorschriften vollständig einhalten. Dieser Stichtag rückt jedoch schneller näher, als die meisten Menschen denken. Tatsächlich ergreifen viele zukunftsorientierte Unternehmen bereits Maßnahmen, um Entwicklern zu helfen, die aktuellen Compliance-Anforderungen zu erfüllen.
Über das Checkbox-Training hinausgehen
Die Entwickler der Organisation schreiben den Großteil des Codes, der von der Infrastruktur verwendet wird. Daher sind sie ein guter Ausgangspunkt für die Umsetzung der neuen PCI DSS 4.0-Anforderungen. Die meisten Entwickler benötigen jedoch strategische Unterstützung, um ihre technischen Fähigkeiten im Rahmen eines aktualisierten Sicherheitsbewusstseinsprogramms zu verbessern. Dies soll ihnen die Erfahrung vermitteln, die für die Umsetzung und Aufrechterhaltung des höheren Sicherheitsniveaus erforderlich ist, das die neuen Standards verlangen.
Tatsächlich schreibt die Anforderung 12.6.2 des PCI DSS 4.0 vor, dass Organisationen ein formelles Sicherheitsprogramm implementieren und dieses mit den neuesten Bedrohungsinformationen und Abwehrtechniken auf dem aktuellen Stand halten müssen. In früheren Standards reichten ein grundlegendes Sicherheitsprogramm oder jährliche Compliance-Schulungen nach dem „Check-the-Box“-Prinzip aus, um die Ziele zu erreichen. Der neue Standard stellt jedoch weitaus höhere Anforderungen, da er verlangt, dass Sicherheitsschulungsprogramme auf die spezifischen Bedrohungen und Schwachstellen in der Unternehmensumgebung zugeschnitten sind.Wenn beispielsweise Identitätsdiebstahl in einer Organisation ein großes Problem darstellt, muss dies durch Schulungen angegangen werden.
Es ist klar, dass eine minimale Schulung aus praktischer Sicht und im Hinblick auf die Einhaltung neuer Standards nicht mehr ausreicht. Stattdessen müssen Unternehmen ihren Entwicklern umfassende und agile Lernpfade anbieten, die ihnen vermitteln, wie sie bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anwenden können.Über die Mindestanforderungen zur Einhaltung von Vorschriften hinaus können Unternehmen ihre Entwickler mit den Ressourcen ausstatten, die sie für ein umfassendes Verständnis der Sicherheit benötigen, und sie so in die Lage versetzen, insgesamt bessere Sicherheitsentscheidungen zu treffen und gleichzeitig die Anforderungen von PCI DSS 4.0 zu erfüllen.
Die gute Nachricht ist, dass viele der neuen Anforderungen von PCI DSS 4.0 Bereiche betreffen, mit denen die meisten Entwickler bereits vertraut sind, wie Zertifizierung, Verschlüsselung, Zugriffskontrolle und Schlüsselverwaltung. Wenn Entwicklern geeignete, relevante und vertraute Ressourcen zur Verfügung gestellt werden, mit denen sie ihre Fähigkeiten verbessern können, können sich Unternehmen leichter auf die neuen Standards und erweiterten Verantwortlichkeiten vorbereiten, die PCI DSS 4.0 mit sich bringt.
PCI DSS 4.0 als Grundlage für die allgemeine Verbesserung der Sicherheit
Die Erfüllung der Anforderungen von Entwicklern durch hervorragende Sicherheitsschulungen ist zwar wichtig für die erfolgreiche Einhaltung des neuen PCI DSS 4.0-Standards, aber die Bemühungen, die Organisation zu einer besseren Cybersicherheit zu führen, müssen hier nicht enden. Ja, Die Anforderungen sind zwar streng, aber da die meisten Unternehmen sich bemühen müssen, diese zu erfüllen, gibt es keinen Grund, diese Bemühungen nicht als Sprungbrett für eine insgesamt bessere Sicherheitsbewusstseinsbildung und -schulung zu nutzen. Auf diese Weise können Unternehmen nicht nur die Compliance-Anforderungen erfüllen, sondern auch eine positive Sicherheitskultur schaffen, in der bewährte Verfahren Vorrang haben und alle Mitarbeiter des Unternehmens auf dasselbe vorrangige Sicherheitsziel hinarbeiten.
Natürlich gibt es eine Lernkurve, aber auch Entwickler werden sich darum bemühen. Laut einer Umfrage von Evans Data befürwortet die überwiegende Mehrheit der mehr als 1.200 weltweit aktiven professionellen Entwickler das Konzept, Sicherheitscodes zu erstellen und eine bessere Sicherheitskultur in ihren Organisationen zu etablieren. Es ist klar, dass die meisten Entwickler einen strategischen und unterstützten Übergang zu sicherem Codieren sowie eine Änderung der Prioritäten im Bereich Sicherheit als Teil des Entwicklungsprozesses begrüßen.
Die von PCI DSS 4.0 geforderten Sicherheitsupgrades bieten Unternehmen einen perfekten Anlass, in verbesserte Sicherheitsbest Practices und Schulungen zu investieren und eine bessere allgemeine Sicherheitskultur innerhalb der Organisation einzuführen.
Wenn Unternehmen in Programme investieren, die Sicherheitstechniken mit entsprechenden Tools und Schulungen kombinieren, können Entwickler die Sicherheitsreife einfacher verbessern. Dadurch erhalten Entwickler die Möglichkeit, bessere Entscheidungen zu treffen, die weit über die strengen neuen PCI DSS 4.0-Standards hinausgehen, und so eine Sicherheitskultur schaffen.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Eine Version dieses Artikels wurde ursprünglich auf veröffentlicht. DZone. Hier aktualisiert und syndiziert.
Die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) verändert fast alles, was die Sicherheit von Unternehmen oder Organisationen betrifft, die elektronische Zahlungen akzeptieren (die meisten). Diese Aktualisierung wird für die meisten Unternehmen eine bahnbrechende Veränderung mit sich bringen, und Unternehmen müssen möglicherweise viele Sicherheitsprozesse aktualisieren und neue Schutzfunktionen für Verschlüsselung, Authentifizierung, Zugriffskontrolle, Schlüsselverwaltung und andere Bereiche einführen, deren Einführung bisher nur langsam vorangekommen ist.
Aufgrund der Komplexität der neuen Anforderungen müssen Unternehmen bis März 2025 die Vorschriften vollständig einhalten. Dieser Stichtag rückt jedoch schneller näher, als die meisten Menschen denken. Tatsächlich ergreifen viele zukunftsorientierte Unternehmen bereits Maßnahmen, um Entwicklern zu helfen, die aktuellen Compliance-Anforderungen zu erfüllen.
Über das Checkbox-Training hinausgehen
Die Entwickler der Organisation schreiben den Großteil des Codes, der von der Infrastruktur verwendet wird. Daher sind sie ein guter Ausgangspunkt für die Umsetzung der neuen PCI DSS 4.0-Anforderungen. Die meisten Entwickler benötigen jedoch strategische Unterstützung, um ihre technischen Fähigkeiten im Rahmen eines aktualisierten Sicherheitsbewusstseinsprogramms zu verbessern. Dies soll ihnen die Erfahrung vermitteln, die für die Umsetzung und Aufrechterhaltung des höheren Sicherheitsniveaus erforderlich ist, das die neuen Standards verlangen.
Tatsächlich schreibt die Anforderung 12.6.2 des PCI DSS 4.0 vor, dass Organisationen ein formelles Sicherheitsprogramm implementieren und dieses mit den neuesten Bedrohungsinformationen und Abwehrtechniken auf dem aktuellen Stand halten müssen. In früheren Standards reichten ein grundlegendes Sicherheitsprogramm oder jährliche Compliance-Schulungen nach dem „Check-the-Box“-Prinzip aus, um die Ziele zu erreichen. Der neue Standard stellt jedoch weitaus höhere Anforderungen, da er verlangt, dass Sicherheitsschulungsprogramme auf die spezifischen Bedrohungen und Schwachstellen in der Unternehmensumgebung zugeschnitten sind.Wenn beispielsweise Identitätsdiebstahl in einer Organisation ein großes Problem darstellt, muss dies durch Schulungen angegangen werden.
Es ist klar, dass eine minimale Schulung aus praktischer Sicht und im Hinblick auf die Einhaltung neuer Standards nicht mehr ausreicht. Stattdessen müssen Unternehmen ihren Entwicklern umfassende und agile Lernpfade anbieten, die ihnen vermitteln, wie sie bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anwenden können.Über die Mindestanforderungen zur Einhaltung von Vorschriften hinaus können Unternehmen ihre Entwickler mit den Ressourcen ausstatten, die sie für ein umfassendes Verständnis der Sicherheit benötigen, und sie so in die Lage versetzen, insgesamt bessere Sicherheitsentscheidungen zu treffen und gleichzeitig die Anforderungen von PCI DSS 4.0 zu erfüllen.
Die gute Nachricht ist, dass viele der neuen Anforderungen von PCI DSS 4.0 Bereiche betreffen, mit denen die meisten Entwickler bereits vertraut sind, wie Zertifizierung, Verschlüsselung, Zugriffskontrolle und Schlüsselverwaltung. Wenn Entwicklern geeignete, relevante und vertraute Ressourcen zur Verfügung gestellt werden, mit denen sie ihre Fähigkeiten verbessern können, können sich Unternehmen leichter auf die neuen Standards und erweiterten Verantwortlichkeiten vorbereiten, die PCI DSS 4.0 mit sich bringt.
PCI DSS 4.0 als Grundlage für die allgemeine Verbesserung der Sicherheit
Die Erfüllung der Anforderungen von Entwicklern durch hervorragende Sicherheitsschulungen ist zwar wichtig für die erfolgreiche Einhaltung des neuen PCI DSS 4.0-Standards, aber die Bemühungen, die Organisation zu einer besseren Cybersicherheit zu führen, müssen hier nicht enden. Ja, Die Anforderungen sind zwar streng, aber da die meisten Unternehmen sich bemühen müssen, diese zu erfüllen, gibt es keinen Grund, diese Bemühungen nicht als Sprungbrett für eine insgesamt bessere Sicherheitsbewusstseinsbildung und -schulung zu nutzen. Auf diese Weise können Unternehmen nicht nur die Compliance-Anforderungen erfüllen, sondern auch eine positive Sicherheitskultur schaffen, in der bewährte Verfahren Vorrang haben und alle Mitarbeiter des Unternehmens auf dasselbe vorrangige Sicherheitsziel hinarbeiten.
Natürlich gibt es eine Lernkurve, aber auch Entwickler werden sich darum bemühen. Laut einer Umfrage von Evans Data befürwortet die überwiegende Mehrheit der mehr als 1.200 weltweit aktiven professionellen Entwickler das Konzept, Sicherheitscodes zu erstellen und eine bessere Sicherheitskultur in ihren Organisationen zu etablieren. Es ist klar, dass die meisten Entwickler einen strategischen und unterstützten Übergang zu sicherem Codieren sowie eine Änderung der Prioritäten im Bereich Sicherheit als Teil des Entwicklungsprozesses begrüßen.
Die von PCI DSS 4.0 geforderten Sicherheitsupgrades bieten Unternehmen einen perfekten Anlass, in verbesserte Sicherheitsbest Practices und Schulungen zu investieren und eine bessere allgemeine Sicherheitskultur innerhalb der Organisation einzuführen.
Wenn Unternehmen in Programme investieren, die Sicherheitstechniken mit entsprechenden Tools und Schulungen kombinieren, können Entwickler die Sicherheitsreife einfacher verbessern. Dadurch erhalten Entwickler die Möglichkeit, bessere Entscheidungen zu treffen, die weit über die strengen neuen PCI DSS 4.0-Standards hinausgehen, und so eine Sicherheitskultur schaffen.
Eine Version dieses Artikels wurde ursprünglich auf veröffentlicht. DZone. Hier aktualisiert und syndiziert.
Die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) verändert fast alles, was die Sicherheit von Unternehmen oder Organisationen betrifft, die elektronische Zahlungen akzeptieren (die meisten). Diese Aktualisierung wird für die meisten Unternehmen eine bahnbrechende Veränderung mit sich bringen, und Unternehmen müssen möglicherweise viele Sicherheitsprozesse aktualisieren und neue Schutzfunktionen für Verschlüsselung, Authentifizierung, Zugriffskontrolle, Schlüsselverwaltung und andere Bereiche einführen, deren Einführung bisher nur langsam vorangekommen ist.
Aufgrund der Komplexität der neuen Anforderungen müssen Unternehmen bis März 2025 die Vorschriften vollständig einhalten. Dieser Stichtag rückt jedoch schneller näher, als die meisten Menschen denken. Tatsächlich ergreifen viele zukunftsorientierte Unternehmen bereits Maßnahmen, um Entwicklern zu helfen, die aktuellen Compliance-Anforderungen zu erfüllen.
Über das Checkbox-Training hinausgehen
Die Entwickler der Organisation schreiben den Großteil des Codes, der von der Infrastruktur verwendet wird. Daher sind sie ein guter Ausgangspunkt für die Umsetzung der neuen PCI DSS 4.0-Anforderungen. Die meisten Entwickler benötigen jedoch strategische Unterstützung, um ihre technischen Fähigkeiten im Rahmen eines aktualisierten Sicherheitsbewusstseinsprogramms zu verbessern. Dies soll ihnen die Erfahrung vermitteln, die für die Umsetzung und Aufrechterhaltung des höheren Sicherheitsniveaus erforderlich ist, das die neuen Standards verlangen.
Tatsächlich schreibt die Anforderung 12.6.2 des PCI DSS 4.0 vor, dass Organisationen ein formelles Sicherheitsprogramm implementieren und dieses mit den neuesten Bedrohungsinformationen und Abwehrtechniken auf dem aktuellen Stand halten müssen. In früheren Standards reichten ein grundlegendes Sicherheitsprogramm oder jährliche Compliance-Schulungen nach dem „Check-the-Box“-Prinzip aus, um die Ziele zu erreichen. Der neue Standard stellt jedoch weitaus höhere Anforderungen, da er verlangt, dass Sicherheitsschulungsprogramme auf die spezifischen Bedrohungen und Schwachstellen in der Unternehmensumgebung zugeschnitten sind.Wenn beispielsweise Identitätsdiebstahl in einer Organisation ein großes Problem darstellt, muss dies durch Schulungen angegangen werden.
Es ist klar, dass eine minimale Schulung aus praktischer Sicht und im Hinblick auf die Einhaltung neuer Standards nicht mehr ausreicht. Stattdessen müssen Unternehmen ihren Entwicklern umfassende und agile Lernpfade anbieten, die ihnen vermitteln, wie sie bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anwenden können.Über die Mindestanforderungen zur Einhaltung von Vorschriften hinaus können Unternehmen ihre Entwickler mit den Ressourcen ausstatten, die sie für ein umfassendes Verständnis der Sicherheit benötigen, und sie so in die Lage versetzen, insgesamt bessere Sicherheitsentscheidungen zu treffen und gleichzeitig die Anforderungen von PCI DSS 4.0 zu erfüllen.
Die gute Nachricht ist, dass viele der neuen Anforderungen von PCI DSS 4.0 Bereiche betreffen, mit denen die meisten Entwickler bereits vertraut sind, wie Zertifizierung, Verschlüsselung, Zugriffskontrolle und Schlüsselverwaltung. Wenn Entwicklern geeignete, relevante und vertraute Ressourcen zur Verfügung gestellt werden, mit denen sie ihre Fähigkeiten verbessern können, können sich Unternehmen leichter auf die neuen Standards und erweiterten Verantwortlichkeiten vorbereiten, die PCI DSS 4.0 mit sich bringt.
PCI DSS 4.0 als Grundlage für die allgemeine Verbesserung der Sicherheit
Die Erfüllung der Anforderungen von Entwicklern durch hervorragende Sicherheitsschulungen ist zwar wichtig für die erfolgreiche Einhaltung des neuen PCI DSS 4.0-Standards, aber die Bemühungen, die Organisation zu einer besseren Cybersicherheit zu führen, müssen hier nicht enden. Ja, Die Anforderungen sind zwar streng, aber da die meisten Unternehmen sich bemühen müssen, diese zu erfüllen, gibt es keinen Grund, diese Bemühungen nicht als Sprungbrett für eine insgesamt bessere Sicherheitsbewusstseinsbildung und -schulung zu nutzen. Auf diese Weise können Unternehmen nicht nur die Compliance-Anforderungen erfüllen, sondern auch eine positive Sicherheitskultur schaffen, in der bewährte Verfahren Vorrang haben und alle Mitarbeiter des Unternehmens auf dasselbe vorrangige Sicherheitsziel hinarbeiten.
Natürlich gibt es eine Lernkurve, aber auch Entwickler werden sich darum bemühen. Laut einer Umfrage von Evans Data befürwortet die überwiegende Mehrheit der mehr als 1.200 weltweit aktiven professionellen Entwickler das Konzept, Sicherheitscodes zu erstellen und eine bessere Sicherheitskultur in ihren Organisationen zu etablieren. Es ist klar, dass die meisten Entwickler einen strategischen und unterstützten Übergang zu sicherem Codieren sowie eine Änderung der Prioritäten im Bereich Sicherheit als Teil des Entwicklungsprozesses begrüßen.
Die von PCI DSS 4.0 geforderten Sicherheitsupgrades bieten Unternehmen einen perfekten Anlass, in verbesserte Sicherheitsbest Practices und Schulungen zu investieren und eine bessere allgemeine Sicherheitskultur innerhalb der Organisation einzuführen.
Wenn Unternehmen in Programme investieren, die Sicherheitstechniken mit entsprechenden Tools und Schulungen kombinieren, können Entwickler die Sicherheitsreife einfacher verbessern. Dadurch erhalten Entwickler die Möglichkeit, bessere Entscheidungen zu treffen, die weit über die strengen neuen PCI DSS 4.0-Standards hinausgehen, und so eine Sicherheitskultur schaffen.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Eine Version dieses Artikels wurde ursprünglich auf veröffentlicht. DZone. Hier aktualisiert und syndiziert.
Die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) verändert fast alles, was die Sicherheit von Unternehmen oder Organisationen betrifft, die elektronische Zahlungen akzeptieren (die meisten). Diese Aktualisierung wird für die meisten Unternehmen eine bahnbrechende Veränderung mit sich bringen, und Unternehmen müssen möglicherweise viele Sicherheitsprozesse aktualisieren und neue Schutzfunktionen für Verschlüsselung, Authentifizierung, Zugriffskontrolle, Schlüsselverwaltung und andere Bereiche einführen, deren Einführung bisher nur langsam vorangekommen ist.
Aufgrund der Komplexität der neuen Anforderungen müssen Unternehmen bis März 2025 die Vorschriften vollständig einhalten. Dieser Stichtag rückt jedoch schneller näher, als die meisten Menschen denken. Tatsächlich ergreifen viele zukunftsorientierte Unternehmen bereits Maßnahmen, um Entwicklern zu helfen, die aktuellen Compliance-Anforderungen zu erfüllen.
Über das Checkbox-Training hinausgehen
Die Entwickler der Organisation schreiben den Großteil des Codes, der von der Infrastruktur verwendet wird. Daher sind sie ein guter Ausgangspunkt für die Umsetzung der neuen PCI DSS 4.0-Anforderungen. Die meisten Entwickler benötigen jedoch strategische Unterstützung, um ihre technischen Fähigkeiten im Rahmen eines aktualisierten Sicherheitsbewusstseinsprogramms zu verbessern. Dies soll ihnen die Erfahrung vermitteln, die für die Umsetzung und Aufrechterhaltung des höheren Sicherheitsniveaus erforderlich ist, das die neuen Standards verlangen.
Tatsächlich schreibt die Anforderung 12.6.2 des PCI DSS 4.0 vor, dass Organisationen ein formelles Sicherheitsprogramm implementieren und dieses mit den neuesten Bedrohungsinformationen und Abwehrtechniken auf dem aktuellen Stand halten müssen. In früheren Standards reichten ein grundlegendes Sicherheitsprogramm oder jährliche Compliance-Schulungen nach dem „Check-the-Box“-Prinzip aus, um die Ziele zu erreichen. Der neue Standard stellt jedoch weitaus höhere Anforderungen, da er verlangt, dass Sicherheitsschulungsprogramme auf die spezifischen Bedrohungen und Schwachstellen in der Unternehmensumgebung zugeschnitten sind.Wenn beispielsweise Identitätsdiebstahl in einer Organisation ein großes Problem darstellt, muss dies durch Schulungen angegangen werden.
Es ist klar, dass eine minimale Schulung aus praktischer Sicht und im Hinblick auf die Einhaltung neuer Standards nicht mehr ausreicht. Stattdessen müssen Unternehmen ihren Entwicklern umfassende und agile Lernpfade anbieten, die ihnen vermitteln, wie sie bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anwenden können.Über die Mindestanforderungen zur Einhaltung von Vorschriften hinaus können Unternehmen ihre Entwickler mit den Ressourcen ausstatten, die sie für ein umfassendes Verständnis der Sicherheit benötigen, und sie so in die Lage versetzen, insgesamt bessere Sicherheitsentscheidungen zu treffen und gleichzeitig die Anforderungen von PCI DSS 4.0 zu erfüllen.
Die gute Nachricht ist, dass viele der neuen Anforderungen von PCI DSS 4.0 Bereiche betreffen, mit denen die meisten Entwickler bereits vertraut sind, wie Zertifizierung, Verschlüsselung, Zugriffskontrolle und Schlüsselverwaltung. Wenn Entwicklern geeignete, relevante und vertraute Ressourcen zur Verfügung gestellt werden, mit denen sie ihre Fähigkeiten verbessern können, können sich Unternehmen leichter auf die neuen Standards und erweiterten Verantwortlichkeiten vorbereiten, die PCI DSS 4.0 mit sich bringt.
PCI DSS 4.0 als Grundlage für die allgemeine Verbesserung der Sicherheit
Die Erfüllung der Anforderungen von Entwicklern durch hervorragende Sicherheitsschulungen ist zwar wichtig für die erfolgreiche Einhaltung des neuen PCI DSS 4.0-Standards, aber die Bemühungen, die Organisation zu einer besseren Cybersicherheit zu führen, müssen hier nicht enden. Ja, Die Anforderungen sind zwar streng, aber da die meisten Unternehmen sich bemühen müssen, diese zu erfüllen, gibt es keinen Grund, diese Bemühungen nicht als Sprungbrett für eine insgesamt bessere Sicherheitsbewusstseinsbildung und -schulung zu nutzen. Auf diese Weise können Unternehmen nicht nur die Compliance-Anforderungen erfüllen, sondern auch eine positive Sicherheitskultur schaffen, in der bewährte Verfahren Vorrang haben und alle Mitarbeiter des Unternehmens auf dasselbe vorrangige Sicherheitsziel hinarbeiten.
Natürlich gibt es eine Lernkurve, aber auch Entwickler werden sich darum bemühen. Laut einer Umfrage von Evans Data befürwortet die überwiegende Mehrheit der mehr als 1.200 weltweit aktiven professionellen Entwickler das Konzept, Sicherheitscodes zu erstellen und eine bessere Sicherheitskultur in ihren Organisationen zu etablieren. Es ist klar, dass die meisten Entwickler einen strategischen und unterstützten Übergang zu sicherem Codieren sowie eine Änderung der Prioritäten im Bereich Sicherheit als Teil des Entwicklungsprozesses begrüßen.
Die von PCI DSS 4.0 geforderten Sicherheitsupgrades bieten Unternehmen einen perfekten Anlass, in verbesserte Sicherheitsbest Practices und Schulungen zu investieren und eine bessere allgemeine Sicherheitskultur innerhalb der Organisation einzuführen.
Wenn Unternehmen in Programme investieren, die Sicherheitstechniken mit entsprechenden Tools und Schulungen kombinieren, können Entwickler die Sicherheitsreife einfacher verbessern. Dadurch erhalten Entwickler die Möglichkeit, bessere Entscheidungen zu treffen, die weit über die strengen neuen PCI DSS 4.0-Standards hinausgehen, und so eine Sicherheitskultur schaffen.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
