PCI-DSS 4.0 wird früher da sein, als Sie denken, und es ist eine Gelegenheit, die Cyber-Resilienz Ihres Unternehmens zu erhöhen
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
귀사의 개발자들은 규정을 준수하는 소프트웨어를 제공할 준비가 되어 있습니까?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
귀사의 개발자들은 규정을 준수하는 소프트웨어를 제공할 준비가 되어 있습니까?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
귀사의 개발자들은 규정을 준수하는 소프트웨어를 제공할 준비가 되어 있습니까?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
귀사의 개발자들은 규정을 준수하는 소프트웨어를 제공할 준비가 되어 있습니까?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
%20(1).avif)
.avif)
