PCI-DSS 4.0 estará aquí antes de lo que cree y es una oportunidad para aumentar la ciberresiliencia de su organización
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
首席执行官、主席和联合创始人
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
%20(1).avif)
.avif)
