PCI-DSS 4.0 wird früher da sein, als Sie denken, und es ist eine Gelegenheit, die Cyber-Resilienz Ihres Unternehmens zu erhöhen
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
您的开发人员是否准备好交付符合规范的软件?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
您的开发人员是否准备好交付符合规范的软件?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
您的开发人员是否准备好交付符合规范的软件?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
您的开发人员是否准备好交付符合规范的软件?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
%20(1).avif)
.avif)
