有了正确的支持,开发人员就能帮助企业实现 PCI DSS 4.0 的卓越合规性
本文原载于 DZone.
《支付卡行业数据安全标准》(PCI DSS)4.0 版将改变任何接受电子支付的企业或组织(绝大多数)的几乎所有安全问题。毫无疑问,这次更新对大多数企业来说都将是一次变革,要求他们升级许多安全流程,并有可能在加密、身份验证、访问控制、密钥管理和其他领域推出新的保护措施,而在此之前,他们可能还迟迟没有采用这些措施。
由于新要求的复杂性,各组织必须在 2025 年 3 月之前完全达到要求。但这一最后期限的到来比大多数人意识到的要早。事实上,许多有远见的公司现在就在采取措施,让他们的开发人员能够驾驭即将到来的合规环境。
超越检查框培训
企业的开发人员编写了企业基础架构所依赖的大量代码,因此在实施新的 PCI DSS 4.0 要求时,他们是一个很好的起点。不过,大多数开发人员都需要战略支持来提高技能,这也是更新安全意识计划的一部分。这是为了确保他们拥有实施和维护新标准所要求的更高安全级别所需的经验。
事实上,PCI DSS 4.0 的要求 12.6.2 规定,企业必须实施正式的安全计划,并根据最新的威胁信息和防御技术不断更新。在旧标准中,基本的安全计划甚至是 "检查框 "式的年度合规培训都能达到目标。新标准的要求则更高,甚至要求安全培训计划必须针对公司环境中的特定威胁和漏洞。例如,如果身份被盗是企业的一个大问题,那么培训就需要解决这个问题。
显然,无论是从实用角度还是从遵守新标准的角度来看,最基本的培训都不再足够。相反,企业需要为开发人员提供全面、灵活的学习途径,教会他们如何将安全最佳实践应用到实际的日常工作中。通过超越最低限度的合规努力,并为开发人员提供他们真正了解安全所需的资源,企业可以让他们的开发人员在遵守 PCI DSS 4.0 的同时,做出更好的安全决策。
好消息是,PCI DSS 4.0 中的许多新要求都针对大多数开发人员已经熟悉的领域,如身份验证、加密、访问控制、密钥管理等。如果能为开发人员提供合适的、相关的和熟悉的资源来提高他们的技能,企业就能更轻松地让他们为 PCI DSS 4.0 所要求的新标准和更多责任做好准备。
将 PCI DSS 4.0 作为提高整体安全性的途径
虽然通过良好的安全教育来满足开发人员的需求是成功遵守新的 PCI DSS 4.0 标准的关键,但企业为实现更好的网络安全所做的努力并不需要到此为止。是的,这些要求是严格的,但由于大多数组织都需要努力遵守这些要求,因此没有理由不把这种努力作为跳板,全面启动更好的安全意识和培训。这不仅能帮助企业满足合规要求,还能开始培养一种积极的安全文化,将最佳实践放在首位,确保企业中的每个人都朝着同一个安全第一的目标努力。
当然,这需要一定的学习曲线,但开发人员很可能会支持这样的努力。埃文斯数据公司(Evans Data)对全球 1200 多名活跃的专业开发人员进行了调查,绝大多数人表示,他们支持创建安全代码的概念,并在他们的组织中建立更好的安全文化。很明显,大多数开发人员都欢迎在战略上支持向安全编码的转变,并将安全作为开发流程的一部分重新排序。
PCI DSS 4.0 规定的安全升级为企业提供了一个绝佳的借口,使其可以投资于改进安全最佳实践和培训,并在组织内部形成更好的整体安全文化。
如果开发人员所在的公司投资一项计划,让他们将安全编码技能与相关工具和培训相结合,他们就能更轻松地达到更高的安全成熟度。反过来,这也有助于创建一种安全文化,让开发人员有能力做出更好的决策,从而改善组织的整体安全状况,甚至远远超过严格的新 PCI DSS 4.0 标准。
马蒂亚斯-马杜博士
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
有了正确的支持,开发人员就能帮助企业实现 PCI DSS 4.0 的卓越合规性
本文原载于 DZone.
《支付卡行业数据安全标准》(PCI DSS)4.0 版将改变任何接受电子支付的企业或组织(绝大多数)的几乎所有安全问题。毫无疑问,这次更新对大多数企业来说都将是一次变革,要求他们升级许多安全流程,并有可能在加密、身份验证、访问控制、密钥管理和其他领域推出新的保护措施,而在此之前,他们可能还迟迟没有采用这些措施。
由于新要求的复杂性,各组织必须在 2025 年 3 月之前完全达到要求。但这一最后期限的到来比大多数人意识到的要早。事实上,许多有远见的公司现在就在采取措施,让他们的开发人员能够驾驭即将到来的合规环境。
超越检查框培训
企业的开发人员编写了企业基础架构所依赖的大量代码,因此在实施新的 PCI DSS 4.0 要求时,他们是一个很好的起点。不过,大多数开发人员都需要战略支持来提高技能,这也是更新安全意识计划的一部分。这是为了确保他们拥有实施和维护新标准所要求的更高安全级别所需的经验。
事实上,PCI DSS 4.0 的要求 12.6.2 规定,企业必须实施正式的安全计划,并根据最新的威胁信息和防御技术不断更新。在旧标准中,基本的安全计划甚至是 "检查框 "式的年度合规培训都能达到目标。新标准的要求则更高,甚至要求安全培训计划必须针对公司环境中的特定威胁和漏洞。例如,如果身份被盗是企业的一个大问题,那么培训就需要解决这个问题。
显然,无论是从实用角度还是从遵守新标准的角度来看,最基本的培训都不再足够。相反,企业需要为开发人员提供全面、灵活的学习途径,教会他们如何将安全最佳实践应用到实际的日常工作中。通过超越最低限度的合规努力,并为开发人员提供他们真正了解安全所需的资源,企业可以让他们的开发人员在遵守 PCI DSS 4.0 的同时,做出更好的安全决策。
好消息是,PCI DSS 4.0 中的许多新要求都针对大多数开发人员已经熟悉的领域,如身份验证、加密、访问控制、密钥管理等。如果能为开发人员提供合适的、相关的和熟悉的资源来提高他们的技能,企业就能更轻松地让他们为 PCI DSS 4.0 所要求的新标准和更多责任做好准备。
将 PCI DSS 4.0 作为提高整体安全性的途径
虽然通过良好的安全教育来满足开发人员的需求是成功遵守新的 PCI DSS 4.0 标准的关键,但企业为实现更好的网络安全所做的努力并不需要到此为止。是的,这些要求是严格的,但由于大多数组织都需要努力遵守这些要求,因此没有理由不把这种努力作为跳板,全面启动更好的安全意识和培训。这不仅能帮助企业满足合规要求,还能开始培养一种积极的安全文化,将最佳实践放在首位,确保企业中的每个人都朝着同一个安全第一的目标努力。
当然,这需要一定的学习曲线,但开发人员很可能会支持这样的努力。埃文斯数据公司(Evans Data)对全球 1200 多名活跃的专业开发人员进行了调查,绝大多数人表示,他们支持创建安全代码的概念,并在他们的组织中建立更好的安全文化。很明显,大多数开发人员都欢迎在战略上支持向安全编码的转变,并将安全作为开发流程的一部分重新排序。
PCI DSS 4.0 规定的安全升级为企业提供了一个绝佳的借口,使其可以投资于改进安全最佳实践和培训,并在组织内部形成更好的整体安全文化。
如果开发人员所在的公司投资一项计划,让他们将安全编码技能与相关工具和培训相结合,他们就能更轻松地达到更高的安全成熟度。反过来,这也有助于创建一种安全文化,让开发人员有能力做出更好的决策,从而改善组织的整体安全状况,甚至远远超过严格的新 PCI DSS 4.0 标准。
