PCI-DSS 4.0 将比您想象的更快问世,这是提升组织网络弹性的机会
这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
对于BFSI领域的公司来说,这是一个千载难逢的机会,可以认真加强其安全计划,开创以人为本的网络弹性的新时代。
为PCI DSS 4.0做好准备的最大挑战是什么?
正如组织的安全计划无所不包,其业务需求和可用资源所独有的复杂性一样,新的 PCI DSS 标准涵盖了很多领域。但是,它们表明,满足安全要求的方法已向灵活性发生了明显的转变,而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 所采用的概念是,有许多方法可以实现密闭安全最佳实践的相同目标。的确如此,但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织,特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底,公司必须做好准备,将安全视为一个持续、不断演变的过程,而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的,整个组织都必须致力于提高安全意识。
而且,那些使用代码级工具(开发群组)的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是实现卓越软件安全状态不可或缺的一部分,这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容,并将其作为默认软件构建方法的一部分进行集成。
三个关键领域代表了与开发团队最相关的变化,可以细分如下:
- 身份验证: 可行的访问控制计划一直是PCI合规性的关键部分,但是,4.0版本将其提升了一个档次,需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准,有关密码复杂性和超时的强化规则也将成为标准。
由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题,因此必须推出精确的培训,以帮助他们在实际代码中识别和修复这些问题。 - 加密和密钥管理: 我们在一个可以通过多个接入点(例如我们的网上银行)访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险,必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁行为者无法读取信息。
- 恶意软件: 在先前的指导方针中,围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”,但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案,并且必须进行持续的记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
对开发人员而言,什么是 “足够” 的培训?
与先前的建议类似,PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是,如果这意味着每年一次足以作为安全软件创建的接触点,那么这还远远不够,也不太可能产生更安全、合规的软件。
开发者教育应从OWASP Top 10中的基础教育开始,以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分,以期继续在这些技能的基础上再接再厉,将安全性从一开始就嵌入到软件开发中,还要嵌入到他们的思维方式和工作方法中。此外,开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任,但只有记录期望并确保可以正确满足这些期望才是公平的。
有了为PCI DSS 4.0合规做准备的准备时间,就有可能在组织范围内改善安全文化方面取得一些重大进展,这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
对于BFSI领域的公司来说,这是一个千载难逢的机会,可以认真加强其安全计划,开创以人为本的网络弹性的新时代。
为PCI DSS 4.0做好准备的最大挑战是什么?
正如组织的安全计划无所不包,其业务需求和可用资源所独有的复杂性一样,新的 PCI DSS 标准涵盖了很多领域。但是,它们表明,满足安全要求的方法已向灵活性发生了明显的转变,而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 所采用的概念是,有许多方法可以实现密闭安全最佳实践的相同目标。的确如此,但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织,特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底,公司必须做好准备,将安全视为一个持续、不断演变的过程,而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的,整个组织都必须致力于提高安全意识。
而且,那些使用代码级工具(开发群组)的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是实现卓越软件安全状态不可或缺的一部分,这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容,并将其作为默认软件构建方法的一部分进行集成。
三个关键领域代表了与开发团队最相关的变化,可以细分如下:
- 身份验证: 可行的访问控制计划一直是PCI合规性的关键部分,但是,4.0版本将其提升了一个档次,需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准,有关密码复杂性和超时的强化规则也将成为标准。
由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题,因此必须推出精确的培训,以帮助他们在实际代码中识别和修复这些问题。 - 加密和密钥管理: 我们在一个可以通过多个接入点(例如我们的网上银行)访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险,必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁行为者无法读取信息。
- 恶意软件: 在先前的指导方针中,围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”,但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案,并且必须进行持续的记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
对开发人员而言,什么是 “足够” 的培训?
与先前的建议类似,PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是,如果这意味着每年一次足以作为安全软件创建的接触点,那么这还远远不够,也不太可能产生更安全、合规的软件。
开发者教育应从OWASP Top 10中的基础教育开始,以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分,以期继续在这些技能的基础上再接再厉,将安全性从一开始就嵌入到软件开发中,还要嵌入到他们的思维方式和工作方法中。此外,开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任,但只有记录期望并确保可以正确满足这些期望才是公平的。
有了为PCI DSS 4.0合规做准备的准备时间,就有可能在组织范围内改善安全文化方面取得一些重大进展,这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。
这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
对于BFSI领域的公司来说,这是一个千载难逢的机会,可以认真加强其安全计划,开创以人为本的网络弹性的新时代。
为PCI DSS 4.0做好准备的最大挑战是什么?
正如组织的安全计划无所不包,其业务需求和可用资源所独有的复杂性一样,新的 PCI DSS 标准涵盖了很多领域。但是,它们表明,满足安全要求的方法已向灵活性发生了明显的转变,而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 所采用的概念是,有许多方法可以实现密闭安全最佳实践的相同目标。的确如此,但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织,特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底,公司必须做好准备,将安全视为一个持续、不断演变的过程,而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的,整个组织都必须致力于提高安全意识。
而且,那些使用代码级工具(开发群组)的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是实现卓越软件安全状态不可或缺的一部分,这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容,并将其作为默认软件构建方法的一部分进行集成。
三个关键领域代表了与开发团队最相关的变化,可以细分如下:
- 身份验证: 可行的访问控制计划一直是PCI合规性的关键部分,但是,4.0版本将其提升了一个档次,需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准,有关密码复杂性和超时的强化规则也将成为标准。
由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题,因此必须推出精确的培训,以帮助他们在实际代码中识别和修复这些问题。 - 加密和密钥管理: 我们在一个可以通过多个接入点(例如我们的网上银行)访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险,必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁行为者无法读取信息。
- 恶意软件: 在先前的指导方针中,围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”,但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案,并且必须进行持续的记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
对开发人员而言,什么是 “足够” 的培训?
与先前的建议类似,PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是,如果这意味着每年一次足以作为安全软件创建的接触点,那么这还远远不够,也不太可能产生更安全、合规的软件。
开发者教育应从OWASP Top 10中的基础教育开始,以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分,以期继续在这些技能的基础上再接再厉,将安全性从一开始就嵌入到软件开发中,还要嵌入到他们的思维方式和工作方法中。此外,开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任,但只有记录期望并确保可以正确满足这些期望才是公平的。
有了为PCI DSS 4.0合规做准备的准备时间,就有可能在组织范围内改善安全文化方面取得一些重大进展,这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
对于BFSI领域的公司来说,这是一个千载难逢的机会,可以认真加强其安全计划,开创以人为本的网络弹性的新时代。
为PCI DSS 4.0做好准备的最大挑战是什么?
正如组织的安全计划无所不包,其业务需求和可用资源所独有的复杂性一样,新的 PCI DSS 标准涵盖了很多领域。但是,它们表明,满足安全要求的方法已向灵活性发生了明显的转变,而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 所采用的概念是,有许多方法可以实现密闭安全最佳实践的相同目标。的确如此,但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织,特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底,公司必须做好准备,将安全视为一个持续、不断演变的过程,而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的,整个组织都必须致力于提高安全意识。
而且,那些使用代码级工具(开发群组)的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是实现卓越软件安全状态不可或缺的一部分,这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容,并将其作为默认软件构建方法的一部分进行集成。
三个关键领域代表了与开发团队最相关的变化,可以细分如下:
- 身份验证: 可行的访问控制计划一直是PCI合规性的关键部分,但是,4.0版本将其提升了一个档次,需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准,有关密码复杂性和超时的强化规则也将成为标准。
由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题,因此必须推出精确的培训,以帮助他们在实际代码中识别和修复这些问题。 - 加密和密钥管理: 我们在一个可以通过多个接入点(例如我们的网上银行)访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险,必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁行为者无法读取信息。
- 恶意软件: 在先前的指导方针中,围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”,但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案,并且必须进行持续的记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
对开发人员而言,什么是 “足够” 的培训?
与先前的建议类似,PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是,如果这意味着每年一次足以作为安全软件创建的接触点,那么这还远远不够,也不太可能产生更安全、合规的软件。
开发者教育应从OWASP Top 10中的基础教育开始,以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分,以期继续在这些技能的基础上再接再厉,将安全性从一开始就嵌入到软件开发中,还要嵌入到他们的思维方式和工作方法中。此外,开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任,但只有记录期望并确保可以正确满足这些期望才是公平的。
有了为PCI DSS 4.0合规做准备的准备时间,就有可能在组织范围内改善安全文化方面取得一些重大进展,这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。
시작하는 데 도움이 되는 자료
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 애플리케이션 보안의 힘 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
