有了正确的支持,开发人员就能帮助企业实现 PCI DSS 4.0 的卓越合规性
本文原载于 DZone.
《支付卡行业数据安全标准》(PCI DSS)4.0 版将改变任何接受电子支付的企业或组织(绝大多数)的几乎所有安全问题。毫无疑问,这次更新对大多数企业来说都将是一次变革,要求他们升级许多安全流程,并有可能在加密、身份验证、访问控制、密钥管理和其他领域推出新的保护措施,而在此之前,他们可能还迟迟没有采用这些措施。
由于新要求的复杂性,各组织必须在 2025 年 3 月之前完全达到要求。但这一最后期限的到来比大多数人意识到的要早。事实上,许多有远见的公司现在就在采取措施,让他们的开发人员能够驾驭即将到来的合规环境。
超越检查框培训
企业的开发人员编写了企业基础架构所依赖的大量代码,因此在实施新的 PCI DSS 4.0 要求时,他们是一个很好的起点。不过,大多数开发人员都需要战略支持来提高技能,这也是更新安全意识计划的一部分。这是为了确保他们拥有实施和维护新标准所要求的更高安全级别所需的经验。
事实上,PCI DSS 4.0 的要求 12.6.2 规定,企业必须实施正式的安全计划,并根据最新的威胁信息和防御技术不断更新。在旧标准中,基本的安全计划甚至是 "检查框 "式的年度合规培训都能达到目标。新标准的要求则更高,甚至要求安全培训计划必须针对公司环境中的特定威胁和漏洞。例如,如果身份被盗是企业的一个大问题,那么培训就需要解决这个问题。
显然,无论是从实用角度还是从遵守新标准的角度来看,最基本的培训都不再足够。相反,企业需要为开发人员提供全面、灵活的学习途径,教会他们如何将安全最佳实践应用到实际的日常工作中。通过超越最低限度的合规努力,并为开发人员提供他们真正了解安全所需的资源,企业可以让他们的开发人员在遵守 PCI DSS 4.0 的同时,做出更好的安全决策。
好消息是,PCI DSS 4.0 中的许多新要求都针对大多数开发人员已经熟悉的领域,如身份验证、加密、访问控制、密钥管理等。如果能为开发人员提供合适的、相关的和熟悉的资源来提高他们的技能,企业就能更轻松地让他们为 PCI DSS 4.0 所要求的新标准和更多责任做好准备。
将 PCI DSS 4.0 作为提高整体安全性的途径
虽然通过良好的安全教育来满足开发人员的需求是成功遵守新的 PCI DSS 4.0 标准的关键,但企业为实现更好的网络安全所做的努力并不需要到此为止。是的,这些要求是严格的,但由于大多数组织都需要努力遵守这些要求,因此没有理由不把这种努力作为跳板,全面启动更好的安全意识和培训。这不仅能帮助企业满足合规要求,还能开始培养一种积极的安全文化,将最佳实践放在首位,确保企业中的每个人都朝着同一个安全第一的目标努力。
当然,这需要一定的学习曲线,但开发人员很可能会支持这样的努力。埃文斯数据公司(Evans Data)对全球 1200 多名活跃的专业开发人员进行了调查,绝大多数人表示,他们支持创建安全代码的概念,并在他们的组织中建立更好的安全文化。很明显,大多数开发人员都欢迎在战略上支持向安全编码的转变,并将安全作为开发流程的一部分重新排序。
PCI DSS 4.0 规定的安全升级为企业提供了一个绝佳的借口,使其可以投资于改进安全最佳实践和培训,并在组织内部形成更好的整体安全文化。
如果开发人员所在的公司投资一项计划,让他们将安全编码技能与相关工具和培训相结合,他们就能更轻松地达到更高的安全成熟度。反过来,这也有助于创建一种安全文化,让开发人员有能力做出更好的决策,从而改善组织的整体安全状况,甚至远远超过严格的新 PCI DSS 4.0 标准。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
本文原载于 DZone.
《支付卡行业数据安全标准》(PCI DSS)4.0 版将改变任何接受电子支付的企业或组织(绝大多数)的几乎所有安全问题。毫无疑问,这次更新对大多数企业来说都将是一次变革,要求他们升级许多安全流程,并有可能在加密、身份验证、访问控制、密钥管理和其他领域推出新的保护措施,而在此之前,他们可能还迟迟没有采用这些措施。
由于新要求的复杂性,各组织必须在 2025 年 3 月之前完全达到要求。但这一最后期限的到来比大多数人意识到的要早。事实上,许多有远见的公司现在就在采取措施,让他们的开发人员能够驾驭即将到来的合规环境。
超越检查框培训
企业的开发人员编写了企业基础架构所依赖的大量代码,因此在实施新的 PCI DSS 4.0 要求时,他们是一个很好的起点。不过,大多数开发人员都需要战略支持来提高技能,这也是更新安全意识计划的一部分。这是为了确保他们拥有实施和维护新标准所要求的更高安全级别所需的经验。
事实上,PCI DSS 4.0 的要求 12.6.2 规定,企业必须实施正式的安全计划,并根据最新的威胁信息和防御技术不断更新。在旧标准中,基本的安全计划甚至是 "检查框 "式的年度合规培训都能达到目标。新标准的要求则更高,甚至要求安全培训计划必须针对公司环境中的特定威胁和漏洞。例如,如果身份被盗是企业的一个大问题,那么培训就需要解决这个问题。
显然,无论是从实用角度还是从遵守新标准的角度来看,最基本的培训都不再足够。相反,企业需要为开发人员提供全面、灵活的学习途径,教会他们如何将安全最佳实践应用到实际的日常工作中。通过超越最低限度的合规努力,并为开发人员提供他们真正了解安全所需的资源,企业可以让他们的开发人员在遵守 PCI DSS 4.0 的同时,做出更好的安全决策。
好消息是,PCI DSS 4.0 中的许多新要求都针对大多数开发人员已经熟悉的领域,如身份验证、加密、访问控制、密钥管理等。如果能为开发人员提供合适的、相关的和熟悉的资源来提高他们的技能,企业就能更轻松地让他们为 PCI DSS 4.0 所要求的新标准和更多责任做好准备。
将 PCI DSS 4.0 作为提高整体安全性的途径
虽然通过良好的安全教育来满足开发人员的需求是成功遵守新的 PCI DSS 4.0 标准的关键,但企业为实现更好的网络安全所做的努力并不需要到此为止。是的,这些要求是严格的,但由于大多数组织都需要努力遵守这些要求,因此没有理由不把这种努力作为跳板,全面启动更好的安全意识和培训。这不仅能帮助企业满足合规要求,还能开始培养一种积极的安全文化,将最佳实践放在首位,确保企业中的每个人都朝着同一个安全第一的目标努力。
当然,这需要一定的学习曲线,但开发人员很可能会支持这样的努力。埃文斯数据公司(Evans Data)对全球 1200 多名活跃的专业开发人员进行了调查,绝大多数人表示,他们支持创建安全代码的概念,并在他们的组织中建立更好的安全文化。很明显,大多数开发人员都欢迎在战略上支持向安全编码的转变,并将安全作为开发流程的一部分重新排序。
PCI DSS 4.0 规定的安全升级为企业提供了一个绝佳的借口,使其可以投资于改进安全最佳实践和培训,并在组织内部形成更好的整体安全文化。
如果开发人员所在的公司投资一项计划,让他们将安全编码技能与相关工具和培训相结合,他们就能更轻松地达到更高的安全成熟度。反过来,这也有助于创建一种安全文化,让开发人员有能力做出更好的决策,从而改善组织的整体安全状况,甚至远远超过严格的新 PCI DSS 4.0 标准。
本文原载于 DZone.
《支付卡行业数据安全标准》(PCI DSS)4.0 版将改变任何接受电子支付的企业或组织(绝大多数)的几乎所有安全问题。毫无疑问,这次更新对大多数企业来说都将是一次变革,要求他们升级许多安全流程,并有可能在加密、身份验证、访问控制、密钥管理和其他领域推出新的保护措施,而在此之前,他们可能还迟迟没有采用这些措施。
由于新要求的复杂性,各组织必须在 2025 年 3 月之前完全达到要求。但这一最后期限的到来比大多数人意识到的要早。事实上,许多有远见的公司现在就在采取措施,让他们的开发人员能够驾驭即将到来的合规环境。
超越检查框培训
企业的开发人员编写了企业基础架构所依赖的大量代码,因此在实施新的 PCI DSS 4.0 要求时,他们是一个很好的起点。不过,大多数开发人员都需要战略支持来提高技能,这也是更新安全意识计划的一部分。这是为了确保他们拥有实施和维护新标准所要求的更高安全级别所需的经验。
事实上,PCI DSS 4.0 的要求 12.6.2 规定,企业必须实施正式的安全计划,并根据最新的威胁信息和防御技术不断更新。在旧标准中,基本的安全计划甚至是 "检查框 "式的年度合规培训都能达到目标。新标准的要求则更高,甚至要求安全培训计划必须针对公司环境中的特定威胁和漏洞。例如,如果身份被盗是企业的一个大问题,那么培训就需要解决这个问题。
显然,无论是从实用角度还是从遵守新标准的角度来看,最基本的培训都不再足够。相反,企业需要为开发人员提供全面、灵活的学习途径,教会他们如何将安全最佳实践应用到实际的日常工作中。通过超越最低限度的合规努力,并为开发人员提供他们真正了解安全所需的资源,企业可以让他们的开发人员在遵守 PCI DSS 4.0 的同时,做出更好的安全决策。
好消息是,PCI DSS 4.0 中的许多新要求都针对大多数开发人员已经熟悉的领域,如身份验证、加密、访问控制、密钥管理等。如果能为开发人员提供合适的、相关的和熟悉的资源来提高他们的技能,企业就能更轻松地让他们为 PCI DSS 4.0 所要求的新标准和更多责任做好准备。
将 PCI DSS 4.0 作为提高整体安全性的途径
虽然通过良好的安全教育来满足开发人员的需求是成功遵守新的 PCI DSS 4.0 标准的关键,但企业为实现更好的网络安全所做的努力并不需要到此为止。是的,这些要求是严格的,但由于大多数组织都需要努力遵守这些要求,因此没有理由不把这种努力作为跳板,全面启动更好的安全意识和培训。这不仅能帮助企业满足合规要求,还能开始培养一种积极的安全文化,将最佳实践放在首位,确保企业中的每个人都朝着同一个安全第一的目标努力。
当然,这需要一定的学习曲线,但开发人员很可能会支持这样的努力。埃文斯数据公司(Evans Data)对全球 1200 多名活跃的专业开发人员进行了调查,绝大多数人表示,他们支持创建安全代码的概念,并在他们的组织中建立更好的安全文化。很明显,大多数开发人员都欢迎在战略上支持向安全编码的转变,并将安全作为开发流程的一部分重新排序。
PCI DSS 4.0 规定的安全升级为企业提供了一个绝佳的借口,使其可以投资于改进安全最佳实践和培训,并在组织内部形成更好的整体安全文化。
如果开发人员所在的公司投资一项计划,让他们将安全编码技能与相关工具和培训相结合,他们就能更轻松地达到更高的安全成熟度。反过来,这也有助于创建一种安全文化,让开发人员有能力做出更好的决策,从而改善组织的整体安全状况,甚至远远超过严格的新 PCI DSS 4.0 标准。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
本文原载于 DZone.
《支付卡行业数据安全标准》(PCI DSS)4.0 版将改变任何接受电子支付的企业或组织(绝大多数)的几乎所有安全问题。毫无疑问,这次更新对大多数企业来说都将是一次变革,要求他们升级许多安全流程,并有可能在加密、身份验证、访问控制、密钥管理和其他领域推出新的保护措施,而在此之前,他们可能还迟迟没有采用这些措施。
由于新要求的复杂性,各组织必须在 2025 年 3 月之前完全达到要求。但这一最后期限的到来比大多数人意识到的要早。事实上,许多有远见的公司现在就在采取措施,让他们的开发人员能够驾驭即将到来的合规环境。
超越检查框培训
企业的开发人员编写了企业基础架构所依赖的大量代码,因此在实施新的 PCI DSS 4.0 要求时,他们是一个很好的起点。不过,大多数开发人员都需要战略支持来提高技能,这也是更新安全意识计划的一部分。这是为了确保他们拥有实施和维护新标准所要求的更高安全级别所需的经验。
事实上,PCI DSS 4.0 的要求 12.6.2 规定,企业必须实施正式的安全计划,并根据最新的威胁信息和防御技术不断更新。在旧标准中,基本的安全计划甚至是 "检查框 "式的年度合规培训都能达到目标。新标准的要求则更高,甚至要求安全培训计划必须针对公司环境中的特定威胁和漏洞。例如,如果身份被盗是企业的一个大问题,那么培训就需要解决这个问题。
显然,无论是从实用角度还是从遵守新标准的角度来看,最基本的培训都不再足够。相反,企业需要为开发人员提供全面、灵活的学习途径,教会他们如何将安全最佳实践应用到实际的日常工作中。通过超越最低限度的合规努力,并为开发人员提供他们真正了解安全所需的资源,企业可以让他们的开发人员在遵守 PCI DSS 4.0 的同时,做出更好的安全决策。
好消息是,PCI DSS 4.0 中的许多新要求都针对大多数开发人员已经熟悉的领域,如身份验证、加密、访问控制、密钥管理等。如果能为开发人员提供合适的、相关的和熟悉的资源来提高他们的技能,企业就能更轻松地让他们为 PCI DSS 4.0 所要求的新标准和更多责任做好准备。
将 PCI DSS 4.0 作为提高整体安全性的途径
虽然通过良好的安全教育来满足开发人员的需求是成功遵守新的 PCI DSS 4.0 标准的关键,但企业为实现更好的网络安全所做的努力并不需要到此为止。是的,这些要求是严格的,但由于大多数组织都需要努力遵守这些要求,因此没有理由不把这种努力作为跳板,全面启动更好的安全意识和培训。这不仅能帮助企业满足合规要求,还能开始培养一种积极的安全文化,将最佳实践放在首位,确保企业中的每个人都朝着同一个安全第一的目标努力。
当然,这需要一定的学习曲线,但开发人员很可能会支持这样的努力。埃文斯数据公司(Evans Data)对全球 1200 多名活跃的专业开发人员进行了调查,绝大多数人表示,他们支持创建安全代码的概念,并在他们的组织中建立更好的安全文化。很明显,大多数开发人员都欢迎在战略上支持向安全编码的转变,并将安全作为开发流程的一部分重新排序。
PCI DSS 4.0 规定的安全升级为企业提供了一个绝佳的借口,使其可以投资于改进安全最佳实践和培训,并在组织内部形成更好的整体安全文化。
如果开发人员所在的公司投资一项计划,让他们将安全编码技能与相关工具和培训相结合,他们就能更轻松地达到更高的安全成熟度。反过来,这也有助于创建一种安全文化,让开发人员有能力做出更好的决策,从而改善组织的整体安全状况,甚至远远超过严格的新 PCI DSS 4.0 标准。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示下载资源
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
%20(1).avif)
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
