Die FinServ-Konformität hängt von der Softwaresicherheit ab
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
Vorschriften für die Finanzdienstleistungsbranche wie PCI DSS unterstreichen die Bedeutung von Sicherheitscode und die Notwendigkeit, Entwickler in bewährten Sicherheitsverfahren zu schulen.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
目录
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
