PCI-DSS 4.0将比你想象的更快到来,这是一个提升你的组织的网络复原力的机会。
本文原载于 安全大道.
今年早些时候,PCI 安全标准委员会公布了支付卡行业数据安全标准(PCI DSS)4.0 版。虽然企业在 2025 年 3 月之前不需要完全符合 4.0 标准,但这次更新是迄今为止最具变革性的一次,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈元素。除此之外,还需要对开发人员实施基于角色的安全意识培训和定期安全编码教育。
这对 BFSI 领域的公司来说是一个大好机会,可以认真提升其安全计划,开创以人为本的网络复原力新时代。
做好 PCI DSS 4.0 准备的最大挑战是什么?
正如一个组织的安全计划包罗万象,其业务需求和可用资源错综复杂,新的 PCI DSS 标准也涵盖了很多方面。然而,它们揭示了在满足安全要求的方法上向灵活性的明显转变,而在一个工具、威胁、策略和合规措施都可能在瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 的理念是,有许多方法可以实现同样的目标,即实现密不透风的安全最佳实践。事实的确如此,但它似乎最适合安全成熟度较高的企业,而且会给企业留下很大的犯错空间,尤其是对于那些对其真正的内部安全成熟度缺乏现实assessment 。归根结底,企业必须做好准备,将安全作为一个持续发展的过程,而不是一次性的 "设置和遗忘 "工作。必须建立强大的安全文化,并在整个组织范围内致力于提高安全意识。
而那些代码级的工具--开发团队--他们必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
你的开发人员是否准备好交付合规的软件?
开发人员是实现软件安全卓越状态不可或缺的一部分,这一点与 PCI DSS 合规性尤其相关,而不仅仅是象征性的 PCI DSS 合规性。开发人员必须了解 PCI DSS 4.0 的全貌,了解他们可以控制的内容,并将其集成到软件构建的默认方法中。
三个关键领域代表了与开发团队最相关的变化,它们可以细分为以下几点:
- 认证:一个可行的访问控制计划一直是PCI合规性的关键部分,然而,4.0版本将这一问题提升了一个档次,需要在内部和外部仔细实施。多因素认证(MFA)将成为标准,围绕密码复杂性和超时的规则也将得到加强。
随着认证和访问控制的安全问题现在是普通开发人员可能面临的最常见的问题,当务之急是推出精确的培训,以帮助他们识别和修复实际代码中的这些问题。 - 加密和密钥管理:在我们运作的世界中,我们可以通过多个访问点访问我们的一些最敏感的信息,例如我们的网上银行。由于这些高价值的数据面临风险,加密和强大的密码学实践是必须的。开发人员必须确保他们拥有最新的知识,了解信息在哪里传输,用户如何访问它,甚至在信息落入坏人手中的情况下,确保它无法被威胁者读取。
- 恶意软件: 在以前的指南中,围绕软件保护恶意代码的安全控制被称为 "反病毒软件",但这过度简化了应该是一个多层次的方法,其保护范围远远超过病毒。反恶意软件解决方案必须在任何必要的地方应用,并且必须持续记录和监控。
同样重要的是,开发人员有学习的途径,包括识别易受攻击的组件,特别是在大多数代码库至少部分依赖第三方代码的情况下。
什么才是对开发者的 "足够 "的培训?
与之前的建议类似,PCI DSS 4.0 建议开发人员 "至少 "每年接受一次培训。然而,如果这意味着每年一次就足以成为安全软件创建的接触点,那么这远远不够,也不可能产生更安全、更合规的软件。
开发人员的教育应该从OWASP前10名的基础教育开始,以及任何其他与语言相关和业务关键的漏洞。这应该是一个持续的计划的一部分,目的是继续加强这些技能,不仅从一开始就将安全嵌入到软件开发中,而且还嵌入到他们的心态和角色方法中。此外,开发团队和他们的经理必须非常清楚角色和责任。安全应该是一个共同的责任,但是记录下期望值并确保它们能够得到适当的满足才是公平的。
有了为 PCI DSS 4.0 合规性做准备的准备时间,就有可能在整个组织的安全文化改进方面取得重大进展,而这正是培养最具安全意识的开发团队的沃土。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
PCI-DSS 4.0将比你想象的更快到来,这是一个提升你的组织的网络复原力的机会。
本文原载于 安全大道.
今年早些时候,PCI 安全标准委员会公布了支付卡行业数据安全标准(PCI DSS)4.0 版。虽然企业在 2025 年 3 月之前不需要完全符合 4.0 标准,但这次更新是迄今为止最具变革性的一次,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈元素。除此之外,还需要对开发人员实施基于角色的安全意识培训和定期安全编码教育。
这对 BFSI 领域的公司来说是一个大好机会,可以认真提升其安全计划,开创以人为本的网络复原力新时代。
做好 PCI DSS 4.0 准备的最大挑战是什么?
正如一个组织的安全计划包罗万象,其业务需求和可用资源错综复杂,新的 PCI DSS 标准也涵盖了很多方面。然而,它们揭示了在满足安全要求的方法上向灵活性的明显转变,而在一个工具、威胁、策略和合规措施都可能在瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 的理念是,有许多方法可以实现同样的目标,即实现密不透风的安全最佳实践。事实的确如此,但它似乎最适合安全成熟度较高的企业,而且会给企业留下很大的犯错空间,尤其是对于那些对其真正的内部安全成熟度缺乏现实assessment 。归根结底,企业必须做好准备,将安全作为一个持续发展的过程,而不是一次性的 "设置和遗忘 "工作。必须建立强大的安全文化,并在整个组织范围内致力于提高安全意识。
而那些代码级的工具--开发团队--他们必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
你的开发人员是否准备好交付合规的软件?
开发人员是实现软件安全卓越状态不可或缺的一部分,这一点与 PCI DSS 合规性尤其相关,而不仅仅是象征性的 PCI DSS 合规性。开发人员必须了解 PCI DSS 4.0 的全貌,了解他们可以控制的内容,并将其集成到软件构建的默认方法中。
三个关键领域代表了与开发团队最相关的变化,它们可以细分为以下几点:
- 认证:一个可行的访问控制计划一直是PCI合规性的关键部分,然而,4.0版本将这一问题提升了一个档次,需要在内部和外部仔细实施。多因素认证(MFA)将成为标准,围绕密码复杂性和超时的规则也将得到加强。
随着认证和访问控制的安全问题现在是普通开发人员可能面临的最常见的问题,当务之急是推出精确的培训,以帮助他们识别和修复实际代码中的这些问题。 - 加密和密钥管理:在我们运作的世界中,我们可以通过多个访问点访问我们的一些最敏感的信息,例如我们的网上银行。由于这些高价值的数据面临风险,加密和强大的密码学实践是必须的。开发人员必须确保他们拥有最新的知识,了解信息在哪里传输,用户如何访问它,甚至在信息落入坏人手中的情况下,确保它无法被威胁者读取。
- 恶意软件: 在以前的指南中,围绕软件保护恶意代码的安全控制被称为 "反病毒软件",但这过度简化了应该是一个多层次的方法,其保护范围远远超过病毒。反恶意软件解决方案必须在任何必要的地方应用,并且必须持续记录和监控。
同样重要的是,开发人员有学习的途径,包括识别易受攻击的组件,特别是在大多数代码库至少部分依赖第三方代码的情况下。
什么才是对开发者的 "足够 "的培训?
与之前的建议类似,PCI DSS 4.0 建议开发人员 "至少 "每年接受一次培训。然而,如果这意味着每年一次就足以成为安全软件创建的接触点,那么这远远不够,也不可能产生更安全、更合规的软件。
开发人员的教育应该从OWASP前10名的基础教育开始,以及任何其他与语言相关和业务关键的漏洞。这应该是一个持续的计划的一部分,目的是继续加强这些技能,不仅从一开始就将安全嵌入到软件开发中,而且还嵌入到他们的心态和角色方法中。此外,开发团队和他们的经理必须非常清楚角色和责任。安全应该是一个共同的责任,但是记录下期望值并确保它们能够得到适当的满足才是公平的。
有了为 PCI DSS 4.0 合规性做准备的准备时间,就有可能在整个组织的安全文化改进方面取得重大进展,而这正是培养最具安全意识的开发团队的沃土。
