PCI-DSS 4.0 将比您想象的更快问世,这是提升组织网络弹性的机会
这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
对于BFSI领域的公司来说,这是一个千载难逢的机会,可以认真加强其安全计划,开创以人为本的网络弹性的新时代。
为PCI DSS 4.0做好准备的最大挑战是什么?
正如组织的安全计划无所不包,其业务需求和可用资源所独有的复杂性一样,新的 PCI DSS 标准涵盖了很多领域。但是,它们表明,满足安全要求的方法已向灵活性发生了明显的转变,而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 所采用的概念是,有许多方法可以实现密闭安全最佳实践的相同目标。的确如此,但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织,特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底,公司必须做好准备,将安全视为一个持续、不断演变的过程,而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的,整个组织都必须致力于提高安全意识。
而且,那些使用代码级工具(开发群组)的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是实现卓越软件安全状态不可或缺的一部分,这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容,并将其作为默认软件构建方法的一部分进行集成。
三个关键领域代表了与开发团队最相关的变化,可以细分如下:
- 身份验证: 可行的访问控制计划一直是PCI合规性的关键部分,但是,4.0版本将其提升了一个档次,需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准,有关密码复杂性和超时的强化规则也将成为标准。
由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题,因此必须推出精确的培训,以帮助他们在实际代码中识别和修复这些问题。 - 加密和密钥管理: 我们在一个可以通过多个接入点(例如我们的网上银行)访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险,必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁行为者无法读取信息。
- 恶意软件: 在先前的指导方针中,围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”,但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案,并且必须进行持续的记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
对开发人员而言,什么是 “足够” 的培训?
与先前的建议类似,PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是,如果这意味着每年一次足以作为安全软件创建的接触点,那么这还远远不够,也不太可能产生更安全、合规的软件。
开发者教育应从OWASP Top 10中的基础教育开始,以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分,以期继续在这些技能的基础上再接再厉,将安全性从一开始就嵌入到软件开发中,还要嵌入到他们的思维方式和工作方法中。此外,开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任,但只有记录期望并确保可以正确满足这些期望才是公平的。
有了为PCI DSS 4.0合规做准备的准备时间,就有可能在组织范围内改善安全文化方面取得一些重大进展,这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
对于BFSI领域的公司来说,这是一个千载难逢的机会,可以认真加强其安全计划,开创以人为本的网络弹性的新时代。
为PCI DSS 4.0做好准备的最大挑战是什么?
正如组织的安全计划无所不包,其业务需求和可用资源所独有的复杂性一样,新的 PCI DSS 标准涵盖了很多领域。但是,它们表明,满足安全要求的方法已向灵活性发生了明显的转变,而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 所采用的概念是,有许多方法可以实现密闭安全最佳实践的相同目标。的确如此,但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织,特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底,公司必须做好准备,将安全视为一个持续、不断演变的过程,而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的,整个组织都必须致力于提高安全意识。
而且,那些使用代码级工具(开发群组)的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是实现卓越软件安全状态不可或缺的一部分,这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容,并将其作为默认软件构建方法的一部分进行集成。
三个关键领域代表了与开发团队最相关的变化,可以细分如下:
- 身份验证: 可行的访问控制计划一直是PCI合规性的关键部分,但是,4.0版本将其提升了一个档次,需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准,有关密码复杂性和超时的强化规则也将成为标准。
由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题,因此必须推出精确的培训,以帮助他们在实际代码中识别和修复这些问题。 - 加密和密钥管理: 我们在一个可以通过多个接入点(例如我们的网上银行)访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险,必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁行为者无法读取信息。
- 恶意软件: 在先前的指导方针中,围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”,但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案,并且必须进行持续的记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
对开发人员而言,什么是 “足够” 的培训?
与先前的建议类似,PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是,如果这意味着每年一次足以作为安全软件创建的接触点,那么这还远远不够,也不太可能产生更安全、合规的软件。
开发者教育应从OWASP Top 10中的基础教育开始,以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分,以期继续在这些技能的基础上再接再厉,将安全性从一开始就嵌入到软件开发中,还要嵌入到他们的思维方式和工作方法中。此外,开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任,但只有记录期望并确保可以正确满足这些期望才是公平的。
有了为PCI DSS 4.0合规做准备的准备时间,就有可能在组织范围内改善安全文化方面取得一些重大进展,这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。
这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
对于BFSI领域的公司来说,这是一个千载难逢的机会,可以认真加强其安全计划,开创以人为本的网络弹性的新时代。
为PCI DSS 4.0做好准备的最大挑战是什么?
正如组织的安全计划无所不包,其业务需求和可用资源所独有的复杂性一样,新的 PCI DSS 标准涵盖了很多领域。但是,它们表明,满足安全要求的方法已向灵活性发生了明显的转变,而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 所采用的概念是,有许多方法可以实现密闭安全最佳实践的相同目标。的确如此,但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织,特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底,公司必须做好准备,将安全视为一个持续、不断演变的过程,而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的,整个组织都必须致力于提高安全意识。
而且,那些使用代码级工具(开发群组)的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是实现卓越软件安全状态不可或缺的一部分,这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容,并将其作为默认软件构建方法的一部分进行集成。
三个关键领域代表了与开发团队最相关的变化,可以细分如下:
- 身份验证: 可行的访问控制计划一直是PCI合规性的关键部分,但是,4.0版本将其提升了一个档次,需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准,有关密码复杂性和超时的强化规则也将成为标准。
由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题,因此必须推出精确的培训,以帮助他们在实际代码中识别和修复这些问题。 - 加密和密钥管理: 我们在一个可以通过多个接入点(例如我们的网上银行)访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险,必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁行为者无法读取信息。
- 恶意软件: 在先前的指导方针中,围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”,但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案,并且必须进行持续的记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
对开发人员而言,什么是 “足够” 的培训?
与先前的建议类似,PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是,如果这意味着每年一次足以作为安全软件创建的接触点,那么这还远远不够,也不太可能产生更安全、合规的软件。
开发者教育应从OWASP Top 10中的基础教育开始,以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分,以期继续在这些技能的基础上再接再厉,将安全性从一开始就嵌入到软件开发中,还要嵌入到他们的思维方式和工作方法中。此外,开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任,但只有记录期望并确保可以正确满足这些期望才是公平的。
有了为PCI DSS 4.0合规做准备的准备时间,就有可能在组织范围内改善安全文化方面取得一些重大进展,这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
对于BFSI领域的公司来说,这是一个千载难逢的机会,可以认真加强其安全计划,开创以人为本的网络弹性的新时代。
为PCI DSS 4.0做好准备的最大挑战是什么?
正如组织的安全计划无所不包,其业务需求和可用资源所独有的复杂性一样,新的 PCI DSS 标准涵盖了很多领域。但是,它们表明,满足安全要求的方法已向灵活性发生了明显的转变,而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 所采用的概念是,有许多方法可以实现密闭安全最佳实践的相同目标。的确如此,但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织,特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底,公司必须做好准备,将安全视为一个持续、不断演变的过程,而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的,整个组织都必须致力于提高安全意识。
而且,那些使用代码级工具(开发群组)的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是实现卓越软件安全状态不可或缺的一部分,这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容,并将其作为默认软件构建方法的一部分进行集成。
三个关键领域代表了与开发团队最相关的变化,可以细分如下:
- 身份验证: 可行的访问控制计划一直是PCI合规性的关键部分,但是,4.0版本将其提升了一个档次,需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准,有关密码复杂性和超时的强化规则也将成为标准。
由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题,因此必须推出精确的培训,以帮助他们在实际代码中识别和修复这些问题。 - 加密和密钥管理: 我们在一个可以通过多个接入点(例如我们的网上银行)访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险,必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁行为者无法读取信息。
- 恶意软件: 在先前的指导方针中,围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”,但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案,并且必须进行持续的记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
对开发人员而言,什么是 “足够” 的培训?
与先前的建议类似,PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是,如果这意味着每年一次足以作为安全软件创建的接触点,那么这还远远不够,也不太可能产生更安全、合规的软件。
开发者教育应从OWASP Top 10中的基础教育开始,以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分,以期继续在这些技能的基础上再接再厉,将安全性从一开始就嵌入到软件开发中,还要嵌入到他们的思维方式和工作方法中。此外,开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任,但只有记录期望并确保可以正确满足这些期望才是公平的。
有了为PCI DSS 4.0合规做准备的准备时间,就有可能在组织范围内改善安全文化方面取得一些重大进展,这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。
Verzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
