Die FinServ-Konformität hängt von der Softwaresicherheit ab
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
Vorschriften für die Finanzdienstleistungsbranche wie PCI DSS unterstreichen die Bedeutung von Sicherheitscode und die Notwendigkeit, Entwickler in bewährten Sicherheitsverfahren zu schulen.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
목차
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
