打开 PDF 版本
评估基础设施和流程,以支持 PCI-DSS 要求
PCI-DSS 4.0 新要求的主要更新和时间表
PCI-DSS 4.0 引入了增强持卡人数据安全性的更新,以应对支付卡行业当前的风险和技术进步。修订版允许组织在证明符合安全目标的情况下采用定制的安全措施,将多因素身份验证扩展到持卡人数据环境中的所有访问,并加强所有网络的加密。此外,还更加强调持续的风险分析和缓解,以及提高及时发现和应对安全事件的能力。这些新要求有一个过渡期,使企业有时间采用新版本,同时保持现有标准的合规性。
为什么 CISO 应优先考虑最新的 PCI-DSS 更新?
遵守这些更新的标准不仅对保持合规性至关重要,而且对防范新出现的网络威胁和风险也至关重要。通过实施这些标准,企业可以抵御违规行为,从而保护自己的声誉,避免因违规而被处以巨额罚款。
DSS 4.0 的生效日期:2024 年 3 月;2025 年 3 月实现。
PCI-DSS 4.0 强调将持续安全流程纳入日常业务运营的重要性
合规不能只是一次性的assessment 。这种方法对于负责在组织内培养安全意识和主动风险管理文化的 CISO 来说至关重要。采用 PCI-DSS 4.0 还有助于通过建立强大的安全基础设施来支撑安全可靠的支付环境,从而提升业务价值。
你的开发人员是否准备好交付合规的软件?
开发人员是实现卓越软件安全不可或缺的一部分,但往往没有得到充分利用。至关重要的是,开发人员要了解 PCI DSS 4.0 的全貌,以及作为软件构建默认方法的一部分,他们可以控制和集成哪些内容。
PCI DSS 要求 6 概述了对开发和维护安全软件的期望
这包括从安全开发标准、开发人员培训到配置和变更控制管理等各种项目。任何开发用于持卡人数据网络(CHD)的软件的组织都必须遵守这些规定。
如要求 6.2.2 所述,从事定制软件开发的人员至少每 12 个月接受一次如下培训:
- 与其工作职能和开发语言相关的软件安全。
- 包括安全软件设计和安全编码技术。
- 包括如何使用安全测试工具检测软件中的漏洞。
该标准进一步规定,培训至少应包括以下项目:
- 使用的开发语言
- 安全软件设计
- 安全编码技术
- 使用技术/方法查找代码中的漏洞
- 防止重新引入先前已解决漏洞的程序
此外,开发人员应熟悉所有攻击技术(在要求 6.2.4 中概述),其中包括一份攻击类别清单,以作为示例:
- 注入攻击,包括 SQL、LDAP、XPath 或其他命令、参数、对象、故障或注入型缺陷。
- 对数据和数据结构的攻击,包括试图操纵缓冲区、指针、输入数据或共享数据。
- 对密码学使用的攻击,包括试图利用薄弱、不安全或不适当的密码实现、算法、密码套件或操作模式。
- 对业务逻辑的攻击,包括试图通过操纵应用程序接口、通信协议和渠道、客户端功能或其他系统/应用功能和资源,滥用或绕过应用特性和功能。这包括跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF)。
- 对访问控制机制的攻击,包括试图绕过或滥用识别、认证或授权机制,或试图利用这些机制实施过程中的弱点。
- 根据要求 6.3.1 的定义,通过漏洞识别过程中发现的任何 "高风险 "漏洞进行的攻击。
Secure Code Warrior 如何帮助您实现 PCI-DSS 4.0 合规性
最有效的培训选择是灵活的learning platform ,在这里,合规性成为总体安全代码学习计划的产物。具体来说,Secure Code Warrior 可以通过以下方式帮助贵公司减少漏洞,提高开发人员的工作效率:
- 通过弥补知识差距,并针对开发人员使用的语言和框架提供精准培训,让开发人员对如何保护 PCI 数据安全有扎实、一致的理解。了解更多 Learning Platform.
- 提供持续的、经过衡量的、既定的技能验证流程,以确保培训已被吸收并付诸实践。进一步了解我们为开发人员提供的现成安全代码培训途径 。
- 通过灵活的学习方法开展培训,提供适时、适情的微型学习。通用的、不经常的培训已不再可行,也不会对减少漏洞产生预期的影响。了解有关我们支持的漏洞的更多信息。
- 帮助记录安全培训和编码标准,有助于在 PCI-DSS 审核期间证明合规性。如需了解 PCI-DSS 4.0 的更详细内容,请查阅我们的白皮书《PCI DSS 4.0 解读》。
打开 PDF 版本