인프라 및 프로세스를 평가하여 PCI-DSS 요구 사항을 지원합니다.
새로운 PCI-DSS 4.0 요구 사항에 대한 주요 업데이트 및 일정
PCI-DSS 4.0에는 카드 소지자 데이터의 보안을 강화하고 결제 카드 업계의 현재 위험과 기술 발전을 해결하기 위한 업데이트가 도입되었습니다.개정된 내용을 통해 조직은 보안 목표를 준수하고 있음을 입증할 경우 맞춤형 보안 조치를 채택하고, 카드 소지자 데이터 환경의 모든 액세스로 다단계 인증을 확장하고, 모든 네트워크에 걸쳐 암호화를 강화할 수 있습니다.또한 지속적인 위험 분석 및 완화, 보안 사고를 적시에 탐지하고 대응할 수 있는 역량 향상에 더욱 중점을 두고 있습니다.이러한 새로운 요구 사항에는 과도기가 있기 때문에 조직은 기존 표준에 따른 규정 준수를 유지하면서 새 버전을 채택할 시간을 확보할 수 있습니다.
CISO가 최신 pci-dss 업데이트에 우선 순위를 두어야 하는 이유
이러한 업데이트된 표준을 준수하는 것은 규정 준수를 유지하는 것뿐만 아니라 새롭게 등장하는 사이버 위협과 위험으로부터 보호하는 데에도 매우 중요합니다.이러한 표준을 구현함으로써 조직은 보안 침해에 대한 탄력성을 확보할 수 있어 평판을 보호하고 규정 위반으로 인해 부과될 수 있는 막대한 벌금을 피할 수 있습니다.
DSS 4.0의 발효일: 2024년 3월, 2025년 3월에 현실화됨.
PCI-DSS 4.0은 지속적인 보안 프로세스를 일상적인 비즈니스 운영에 통합하는 것의 중요성을 강조합니다.
규정 준수는 단순한 일회성 평가가 될 수 없습니다.이러한 접근 방식은 조직 내에서 보안 인식 및 사전 위험 관리 문화를 조성해야 하는 CISO에게 매우 중요합니다.또한 PCI-DSS 4.0을 도입하면 안전한 결제 환경을 뒷받침하는 강력한 보안 인프라를 구축하여 비즈니스 가치를 높이는 데도 도움이 됩니다.
개발자는 규정을 준수하는 소프트웨어를 제공할 준비가 되어 있습니까?
개발자는 소프트웨어 보안 우수성을 달성하는 데 있어 매우 중요한 역할을 하지만 활용도가 낮은 경우가 많습니다.개발자는 PCI DSS 4.0의 광범위한 관점과 소프트웨어 빌드에 대한 기본 접근 방식의 일부로 제어 및 통합할 수 있는 대상을 이해하는 것이 중요합니다.
PCI DSS의 요구 사항 6에는 보안 소프트웨어 개발 및 유지 관리에 대한 기대치가 요약되어 있습니다.
여기에는 보안 개발 표준부터 개발자 교육, 구성 및 변경 제어 관리에 이르는 다양한 항목이 포함됩니다.카드홀더 데이터 네트워크 (CHD) 에서 사용되는 소프트웨어를 개발하는 모든 조직은 이러한 규정을 준수해야 합니다.
요구사항 6.2.2에 명시된 바와 같이, 맞춤형 소프트웨어 및 맞춤형 소프트웨어를 개발하는 소프트웨어 개발 인력은 최소 12개월에 한 번씩 다음과 같이 교육을 받습니다.
- 직무 및 개발 언어와 관련된 소프트웨어 보안에 대해
- 보안 소프트웨어 설계 및 보안 코딩 기술을 포함합니다.
- 보안 테스트 도구를 사용하여 소프트웨어의 취약점을 탐지하는 방법을 포함합니다.
이 표준은 교육에 최소한 다음 항목이 포함되어야 한다고 추가로 설명합니다.
- 사용 중인 개발 언어
- 보안 소프트웨어 설계
- 安全编码技术
- 코드의 취약점을 찾기 위한 기법/방법 사용
- 이전에 해결한 취약점의 재유입을 방지하는 프로세스
또한 개발자는 모든 공격 기법 (요구 사항 6.2.4에 설명) 에 익숙해야 합니다.여기에는 예시로 사용할 수 있도록 설계된 공격 범주 목록이 포함됩니다.
- SQL, LDAP, XPath 또는 기타 명령, 매개 변수, 개체, 장애 또는 주입 유형 결함을 포함한 주입 공격
- 버퍼, 포인터, 입력 데이터 또는 공유 데이터를 조작하려는 시도를 비롯한 데이터 및 데이터 구조에 대한 공격
- 취약하거나 안전하지 않거나 부적절한 암호화 구현, 알고리즘, 암호 제품군 또는 작동 모드를 악용하려는 시도를 비롯한 암호화 사용에 대한 공격
- API, 통신 프로토콜 및 채널, 클라이언트 측 기능 또는 기타 시스템/애플리케이션 기능 및 리소스의 조작을 통해 애플리케이션 기능을 남용하거나 우회하려는 시도를 비롯한 비즈니스 로직에 대한 공격.여기에는 사이트 간 스크립팅 (XSS) 및 사이트 간 요청 위조 (CSRF) 가 포함됩니다.
- 식별, 인증 또는 권한 부여 메커니즘을 우회하거나 남용하려는 시도 또는 이러한 메커니즘 구현의 약점을 악용하려는 시도를 비롯한 액세스 제어 메커니즘에 대한 공격
- 요구 사항 6.3.1에 정의된 대로 취약성 식별 프로세스에서 확인된 “고위험” 취약성을 통한 공격.
시큐어 코드 워리어가 PCI-DSS 4.0 규정 준수를 달성하는 데 도움이 되는 방법
가장 효과적인 교육 옵션은 컴플라이언스가 중요한 보안 코드 학습 프로그램의 산물이 되는 애자일 학습 플랫폼입니다.특히 Secure Code Warrior는 다음과 같은 기능을 통해 회사에서 취약점을 줄이고 개발자 생산성을 높이는 데 도움이 될 수 있습니다.
- 지식 격차를 해소하고 개발자가 사용하는 언어 및 프레임워크에 대한 정밀 교육을 제공하여 PCI 데이터를 안전하게 유지하는 방법에 대한 확실하고 일관된 이해를 제공합니다.자세한 내용은 여기를 참조하십시오. 학습 플랫폼.
- 교육을 제대로 이해하고 실행에 옮길 수 있도록 지속적이고 측정되고 확립된 기술 검증 프로세스를 제공합니다.당사의 기성품에 대해 자세히 알아보십시오. 보안 코드 교육 경로 개발자용.
- 상황에 맞는 마이크로버스트 학습을 제공하는 애자일 학습 방법을 통해 교육을 실시합니다.흔하지 않은 일반적인 교육은 더 이상 가능하지 않으며 취약성 감소에 원하는 영향을 미치지 못할 것입니다.당사에 대해 자세히 알아보십시오. 지원되는 취약점.
- PCI-DSS 감사 중 규정 준수를 입증하는 데 유용한 보안 교육 및 코딩 표준을 문서화하는 데 도움이 됩니다.PCI-DSS 4.0에 대한 자세한 내용은 백서를 참조하십시오. PCI DSS 4.0이 공개되었습니다.
%20(1).avif)