FinServ 合规性取决于软件安全性
金融服务机构有充分的理由确保他们使用的软件代码是安全的。当然,一个显而易见的动机是需要保护他们的数据免遭泄露,这可能会导致泄露个人身份信息、清理费用、罚款和赔偿以及组织声誉受损,代价高昂。另一个持续存在的原因是需要遵守一系列行业和政府法规。
由于金融服务处理大量敏感的个人和财务信息以及人们的钱,因此金融服务是一个受到严格监管的行业。根据所提供的服务,公司必须遵守各种规则和要求。
例如,支付卡行业数据安全标准 (PCI DSS) 以其保护持卡人数据的规则而闻名。中的要求 《萨班斯-奥克利法案》 管理财务记录管理。在国际上运营的公司都熟悉 《数字运营弹性法案》 (DORA),这是一个具有约束力的风险管理框架,也是由该框架制定的全球资金转移标准 环球银行间金融电信协会,被称为 Swift。
还有诸如此类的法律 《加州消费者隐私法》 (CCPA) 和欧盟的 《通用数据保护条例》 (GDPR) 设定了保护客户隐私和个人信息的要求。还有其他法规,例如美国货币审计长办公室(OCC)和欧洲中央银行(ECB)制定的法规。
如果这还不够, 国家网络安全战略 除其他外,指出,应追究软件制造商对软件安全效率低下的责任。网络安全和基础设施安全局(CISA)与17个美国和国际合作伙伴一起发布了以下指导方针 通过设计确保安全 软件开发的原则。
金融服务公司的一个共同点是,安全代码是帮助实现这些法规目标的关键要素,这有助于更轻松地证明其合规性。它还强调了为什么开发人员需要培训和提高技能,以确保在开发过程开始时将安全性应用于代码。
作为其工作原理的示例,让我们来看一下最新版本的 PCI DSS。
安全编码(和开发人员培训)是 PCI DSS 4.0 的核心
PCI DSS 4.0自 2024 年 4 月 1 日起强制执行,其中包括对 PCI DSS 3.2.1 的几项重大更新,其中最重要的是强调了开发人员在确保软件代码安全方面所起的作用。
过去,PCI 早已意识到安全软件的重要性。2017 年发布的 2.0 版本包括 开发人员指南 关于确保移动设备上的安全交易。现在,版本 4.0 中的指南强调将安全最佳实践应用于软件开发,并包括一些有关开发人员培训的具体指导。
尽管公司可能希望实施更全面的方法,但这些要求通常是笼统的。
例如,版本 4.0 中的一项要求是 “定义和理解开发和维护安全系统和软件的流程和机制”。确保这一点属实的一个好方法是让开发人员接受有关他们正在使用的编程语言和框架的精确培训,以填补知识空白。
另一项要求规定,开发定制和定制软件的开发人员必须至少每12个月接受一次培训,包括:
- 与他们的工作职能和开发语言相关的软件安全。
- 安全的软件设计和编码技术。
- 如何使用安全测试工具(如果正在使用)来检测软件中的漏洞。
但是,实际上,每年一次的频率不足以解决核心安全问题和打破不良的编码习惯。培训应持续且有节制,并通过技能验证程序来确保培训得到充分利用。
PCI DSS 4.0 包括六项以上的其他要求,这些要求涉及预防和缓解各种类型的攻击、记录第三方软件组件、识别和管理漏洞以及其他安全措施等领域。无论如何,各组织明智的做法是彻底执行这些措施。针对攻击载体的培训应频繁进行,而不是每年一次。第三方组件通常是漏洞的来源,应通过软件物料清单 (SBOM) 计划仔细清点。而且,组织应确保明确定义管理漏洞的角色。
新版本还为组织提供了满足其要求的一定灵活性,将重点放在结果而不是复选框上,同时增加了对身份验证控制、密码长度、共享帐户和其他因素的新要求。
合规性从 SDLC 的开头开始
这些法规的共同点是,它们试图为保护金融服务行业的数据和交易设定高标准。而且,与最新的 PCI DSS 版本一样,他们在软件开发生命周期 (SDLC) 之初越来越强调安全代码的重要性。国家网络安全战略和CISA的 “通过设计确保安全” 原则还规定,在软件出厂之前,安全责任应由软件制造商承担,因此,即使不受金融服务法规直接监管的公司也需要遵守。
组织需要通过培训开发人员使其方法固有的安全性来弥合 DevOps 团队(专注于开发速度)和 AppSec 团队(急于将安全性纳入流程)之间存在的差距。但是,这需要一系列复杂的技能,其中涉及的不仅仅是每年的培训课程或标准、停滞的教育计划所能提供的技能。培训应持续、灵活,旨在让学员参与活跃的真实场景,并根据他们的工作时间表以小批量方式进行。
金融服务公司需要确保安全,既要防范违规行为,又要遵守日益严格的法规。就对公司声誉和金钱成本的影响而言,违规的代价可能与违规行为一样具有破坏性。IBM 的 2023 年数据泄露成本报告,例如,发现违规程度严重的组织平均面临总计 505 万美元——50 万美元的罚款和其他费用 更多 高于实际数据泄露的平均成本。
基于云的环境和数字交易的持续增长使金融服务行业中软件的安全性变得至关重要,PCI DSS等法规也承认这一点。确保软件安全的最佳方法是在 SDLC 开始时进行安全编码。实现这一目标的方法是有效地培训开发人员掌握安全编码实践。
要全面了解安全编码如何帮助确保金融服务公司的成功、安全和利润,您可以阅读新发布的 Secure Code Warrior 电子书: 金融服务安全趋势终极指南。
来看看 安全代码勇士 博客页面提供有关网络安全、日益危险的威胁格局的更多见解,并了解如何利用创新技术和培训来更好地保护您的组织和客户。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
金融服务机构有充分的理由确保他们使用的软件代码是安全的。当然,一个显而易见的动机是需要保护他们的数据免遭泄露,这可能会导致泄露个人身份信息、清理费用、罚款和赔偿以及组织声誉受损,代价高昂。另一个持续存在的原因是需要遵守一系列行业和政府法规。
由于金融服务处理大量敏感的个人和财务信息以及人们的钱,因此金融服务是一个受到严格监管的行业。根据所提供的服务,公司必须遵守各种规则和要求。
例如,支付卡行业数据安全标准 (PCI DSS) 以其保护持卡人数据的规则而闻名。中的要求 《萨班斯-奥克利法案》 管理财务记录管理。在国际上运营的公司都熟悉 《数字运营弹性法案》 (DORA),这是一个具有约束力的风险管理框架,也是由该框架制定的全球资金转移标准 环球银行间金融电信协会,被称为 Swift。
还有诸如此类的法律 《加州消费者隐私法》 (CCPA) 和欧盟的 《通用数据保护条例》 (GDPR) 设定了保护客户隐私和个人信息的要求。还有其他法规,例如美国货币审计长办公室(OCC)和欧洲中央银行(ECB)制定的法规。
如果这还不够, 国家网络安全战略 除其他外,指出,应追究软件制造商对软件安全效率低下的责任。网络安全和基础设施安全局(CISA)与17个美国和国际合作伙伴一起发布了以下指导方针 通过设计确保安全 软件开发的原则。
金融服务公司的一个共同点是,安全代码是帮助实现这些法规目标的关键要素,这有助于更轻松地证明其合规性。它还强调了为什么开发人员需要培训和提高技能,以确保在开发过程开始时将安全性应用于代码。
作为其工作原理的示例,让我们来看一下最新版本的 PCI DSS。
安全编码(和开发人员培训)是 PCI DSS 4.0 的核心
PCI DSS 4.0自 2024 年 4 月 1 日起强制执行,其中包括对 PCI DSS 3.2.1 的几项重大更新,其中最重要的是强调了开发人员在确保软件代码安全方面所起的作用。
过去,PCI 早已意识到安全软件的重要性。2017 年发布的 2.0 版本包括 开发人员指南 关于确保移动设备上的安全交易。现在,版本 4.0 中的指南强调将安全最佳实践应用于软件开发,并包括一些有关开发人员培训的具体指导。
尽管公司可能希望实施更全面的方法,但这些要求通常是笼统的。
例如,版本 4.0 中的一项要求是 “定义和理解开发和维护安全系统和软件的流程和机制”。确保这一点属实的一个好方法是让开发人员接受有关他们正在使用的编程语言和框架的精确培训,以填补知识空白。
另一项要求规定,开发定制和定制软件的开发人员必须至少每12个月接受一次培训,包括:
- 与他们的工作职能和开发语言相关的软件安全。
- 安全的软件设计和编码技术。
- 如何使用安全测试工具(如果正在使用)来检测软件中的漏洞。
但是,实际上,每年一次的频率不足以解决核心安全问题和打破不良的编码习惯。培训应持续且有节制,并通过技能验证程序来确保培训得到充分利用。
PCI DSS 4.0 包括六项以上的其他要求,这些要求涉及预防和缓解各种类型的攻击、记录第三方软件组件、识别和管理漏洞以及其他安全措施等领域。无论如何,各组织明智的做法是彻底执行这些措施。针对攻击载体的培训应频繁进行,而不是每年一次。第三方组件通常是漏洞的来源,应通过软件物料清单 (SBOM) 计划仔细清点。而且,组织应确保明确定义管理漏洞的角色。
新版本还为组织提供了满足其要求的一定灵活性,将重点放在结果而不是复选框上,同时增加了对身份验证控制、密码长度、共享帐户和其他因素的新要求。
合规性从 SDLC 的开头开始
这些法规的共同点是,它们试图为保护金融服务行业的数据和交易设定高标准。而且,与最新的 PCI DSS 版本一样,他们在软件开发生命周期 (SDLC) 之初越来越强调安全代码的重要性。国家网络安全战略和CISA的 “通过设计确保安全” 原则还规定,在软件出厂之前,安全责任应由软件制造商承担,因此,即使不受金融服务法规直接监管的公司也需要遵守。
组织需要通过培训开发人员使其方法固有的安全性来弥合 DevOps 团队(专注于开发速度)和 AppSec 团队(急于将安全性纳入流程)之间存在的差距。但是,这需要一系列复杂的技能,其中涉及的不仅仅是每年的培训课程或标准、停滞的教育计划所能提供的技能。培训应持续、灵活,旨在让学员参与活跃的真实场景,并根据他们的工作时间表以小批量方式进行。
金融服务公司需要确保安全,既要防范违规行为,又要遵守日益严格的法规。就对公司声誉和金钱成本的影响而言,违规的代价可能与违规行为一样具有破坏性。IBM 的 2023 年数据泄露成本报告,例如,发现违规程度严重的组织平均面临总计 505 万美元——50 万美元的罚款和其他费用 更多 高于实际数据泄露的平均成本。
基于云的环境和数字交易的持续增长使金融服务行业中软件的安全性变得至关重要,PCI DSS等法规也承认这一点。确保软件安全的最佳方法是在 SDLC 开始时进行安全编码。实现这一目标的方法是有效地培训开发人员掌握安全编码实践。
要全面了解安全编码如何帮助确保金融服务公司的成功、安全和利润,您可以阅读新发布的 Secure Code Warrior 电子书: 金融服务安全趋势终极指南。
来看看 安全代码勇士 博客页面提供有关网络安全、日益危险的威胁格局的更多见解,并了解如何利用创新技术和培训来更好地保护您的组织和客户。
金融服务机构有充分的理由确保他们使用的软件代码是安全的。当然,一个显而易见的动机是需要保护他们的数据免遭泄露,这可能会导致泄露个人身份信息、清理费用、罚款和赔偿以及组织声誉受损,代价高昂。另一个持续存在的原因是需要遵守一系列行业和政府法规。
由于金融服务处理大量敏感的个人和财务信息以及人们的钱,因此金融服务是一个受到严格监管的行业。根据所提供的服务,公司必须遵守各种规则和要求。
例如,支付卡行业数据安全标准 (PCI DSS) 以其保护持卡人数据的规则而闻名。中的要求 《萨班斯-奥克利法案》 管理财务记录管理。在国际上运营的公司都熟悉 《数字运营弹性法案》 (DORA),这是一个具有约束力的风险管理框架,也是由该框架制定的全球资金转移标准 环球银行间金融电信协会,被称为 Swift。
还有诸如此类的法律 《加州消费者隐私法》 (CCPA) 和欧盟的 《通用数据保护条例》 (GDPR) 设定了保护客户隐私和个人信息的要求。还有其他法规,例如美国货币审计长办公室(OCC)和欧洲中央银行(ECB)制定的法规。
如果这还不够, 国家网络安全战略 除其他外,指出,应追究软件制造商对软件安全效率低下的责任。网络安全和基础设施安全局(CISA)与17个美国和国际合作伙伴一起发布了以下指导方针 通过设计确保安全 软件开发的原则。
金融服务公司的一个共同点是,安全代码是帮助实现这些法规目标的关键要素,这有助于更轻松地证明其合规性。它还强调了为什么开发人员需要培训和提高技能,以确保在开发过程开始时将安全性应用于代码。
作为其工作原理的示例,让我们来看一下最新版本的 PCI DSS。
安全编码(和开发人员培训)是 PCI DSS 4.0 的核心
PCI DSS 4.0自 2024 年 4 月 1 日起强制执行,其中包括对 PCI DSS 3.2.1 的几项重大更新,其中最重要的是强调了开发人员在确保软件代码安全方面所起的作用。
过去,PCI 早已意识到安全软件的重要性。2017 年发布的 2.0 版本包括 开发人员指南 关于确保移动设备上的安全交易。现在,版本 4.0 中的指南强调将安全最佳实践应用于软件开发,并包括一些有关开发人员培训的具体指导。
尽管公司可能希望实施更全面的方法,但这些要求通常是笼统的。
例如,版本 4.0 中的一项要求是 “定义和理解开发和维护安全系统和软件的流程和机制”。确保这一点属实的一个好方法是让开发人员接受有关他们正在使用的编程语言和框架的精确培训,以填补知识空白。
另一项要求规定,开发定制和定制软件的开发人员必须至少每12个月接受一次培训,包括:
- 与他们的工作职能和开发语言相关的软件安全。
- 安全的软件设计和编码技术。
- 如何使用安全测试工具(如果正在使用)来检测软件中的漏洞。
但是,实际上,每年一次的频率不足以解决核心安全问题和打破不良的编码习惯。培训应持续且有节制,并通过技能验证程序来确保培训得到充分利用。
PCI DSS 4.0 包括六项以上的其他要求,这些要求涉及预防和缓解各种类型的攻击、记录第三方软件组件、识别和管理漏洞以及其他安全措施等领域。无论如何,各组织明智的做法是彻底执行这些措施。针对攻击载体的培训应频繁进行,而不是每年一次。第三方组件通常是漏洞的来源,应通过软件物料清单 (SBOM) 计划仔细清点。而且,组织应确保明确定义管理漏洞的角色。
新版本还为组织提供了满足其要求的一定灵活性,将重点放在结果而不是复选框上,同时增加了对身份验证控制、密码长度、共享帐户和其他因素的新要求。
合规性从 SDLC 的开头开始
这些法规的共同点是,它们试图为保护金融服务行业的数据和交易设定高标准。而且,与最新的 PCI DSS 版本一样,他们在软件开发生命周期 (SDLC) 之初越来越强调安全代码的重要性。国家网络安全战略和CISA的 “通过设计确保安全” 原则还规定,在软件出厂之前,安全责任应由软件制造商承担,因此,即使不受金融服务法规直接监管的公司也需要遵守。
组织需要通过培训开发人员使其方法固有的安全性来弥合 DevOps 团队(专注于开发速度)和 AppSec 团队(急于将安全性纳入流程)之间存在的差距。但是,这需要一系列复杂的技能,其中涉及的不仅仅是每年的培训课程或标准、停滞的教育计划所能提供的技能。培训应持续、灵活,旨在让学员参与活跃的真实场景,并根据他们的工作时间表以小批量方式进行。
金融服务公司需要确保安全,既要防范违规行为,又要遵守日益严格的法规。就对公司声誉和金钱成本的影响而言,违规的代价可能与违规行为一样具有破坏性。IBM 的 2023 年数据泄露成本报告,例如,发现违规程度严重的组织平均面临总计 505 万美元——50 万美元的罚款和其他费用 更多 高于实际数据泄露的平均成本。
基于云的环境和数字交易的持续增长使金融服务行业中软件的安全性变得至关重要,PCI DSS等法规也承认这一点。确保软件安全的最佳方法是在 SDLC 开始时进行安全编码。实现这一目标的方法是有效地培训开发人员掌握安全编码实践。
要全面了解安全编码如何帮助确保金融服务公司的成功、安全和利润,您可以阅读新发布的 Secure Code Warrior 电子书: 金融服务安全趋势终极指南。
来看看 安全代码勇士 博客页面提供有关网络安全、日益危险的威胁格局的更多见解,并了解如何利用创新技术和培训来更好地保护您的组织和客户。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
金融服务机构有充分的理由确保他们使用的软件代码是安全的。当然,一个显而易见的动机是需要保护他们的数据免遭泄露,这可能会导致泄露个人身份信息、清理费用、罚款和赔偿以及组织声誉受损,代价高昂。另一个持续存在的原因是需要遵守一系列行业和政府法规。
由于金融服务处理大量敏感的个人和财务信息以及人们的钱,因此金融服务是一个受到严格监管的行业。根据所提供的服务,公司必须遵守各种规则和要求。
例如,支付卡行业数据安全标准 (PCI DSS) 以其保护持卡人数据的规则而闻名。中的要求 《萨班斯-奥克利法案》 管理财务记录管理。在国际上运营的公司都熟悉 《数字运营弹性法案》 (DORA),这是一个具有约束力的风险管理框架,也是由该框架制定的全球资金转移标准 环球银行间金融电信协会,被称为 Swift。
还有诸如此类的法律 《加州消费者隐私法》 (CCPA) 和欧盟的 《通用数据保护条例》 (GDPR) 设定了保护客户隐私和个人信息的要求。还有其他法规,例如美国货币审计长办公室(OCC)和欧洲中央银行(ECB)制定的法规。
如果这还不够, 国家网络安全战略 除其他外,指出,应追究软件制造商对软件安全效率低下的责任。网络安全和基础设施安全局(CISA)与17个美国和国际合作伙伴一起发布了以下指导方针 通过设计确保安全 软件开发的原则。
金融服务公司的一个共同点是,安全代码是帮助实现这些法规目标的关键要素,这有助于更轻松地证明其合规性。它还强调了为什么开发人员需要培训和提高技能,以确保在开发过程开始时将安全性应用于代码。
作为其工作原理的示例,让我们来看一下最新版本的 PCI DSS。
安全编码(和开发人员培训)是 PCI DSS 4.0 的核心
PCI DSS 4.0自 2024 年 4 月 1 日起强制执行,其中包括对 PCI DSS 3.2.1 的几项重大更新,其中最重要的是强调了开发人员在确保软件代码安全方面所起的作用。
过去,PCI 早已意识到安全软件的重要性。2017 年发布的 2.0 版本包括 开发人员指南 关于确保移动设备上的安全交易。现在,版本 4.0 中的指南强调将安全最佳实践应用于软件开发,并包括一些有关开发人员培训的具体指导。
尽管公司可能希望实施更全面的方法,但这些要求通常是笼统的。
例如,版本 4.0 中的一项要求是 “定义和理解开发和维护安全系统和软件的流程和机制”。确保这一点属实的一个好方法是让开发人员接受有关他们正在使用的编程语言和框架的精确培训,以填补知识空白。
另一项要求规定,开发定制和定制软件的开发人员必须至少每12个月接受一次培训,包括:
- 与他们的工作职能和开发语言相关的软件安全。
- 安全的软件设计和编码技术。
- 如何使用安全测试工具(如果正在使用)来检测软件中的漏洞。
但是,实际上,每年一次的频率不足以解决核心安全问题和打破不良的编码习惯。培训应持续且有节制,并通过技能验证程序来确保培训得到充分利用。
PCI DSS 4.0 包括六项以上的其他要求,这些要求涉及预防和缓解各种类型的攻击、记录第三方软件组件、识别和管理漏洞以及其他安全措施等领域。无论如何,各组织明智的做法是彻底执行这些措施。针对攻击载体的培训应频繁进行,而不是每年一次。第三方组件通常是漏洞的来源,应通过软件物料清单 (SBOM) 计划仔细清点。而且,组织应确保明确定义管理漏洞的角色。
新版本还为组织提供了满足其要求的一定灵活性,将重点放在结果而不是复选框上,同时增加了对身份验证控制、密码长度、共享帐户和其他因素的新要求。
合规性从 SDLC 的开头开始
这些法规的共同点是,它们试图为保护金融服务行业的数据和交易设定高标准。而且,与最新的 PCI DSS 版本一样,他们在软件开发生命周期 (SDLC) 之初越来越强调安全代码的重要性。国家网络安全战略和CISA的 “通过设计确保安全” 原则还规定,在软件出厂之前,安全责任应由软件制造商承担,因此,即使不受金融服务法规直接监管的公司也需要遵守。
组织需要通过培训开发人员使其方法固有的安全性来弥合 DevOps 团队(专注于开发速度)和 AppSec 团队(急于将安全性纳入流程)之间存在的差距。但是,这需要一系列复杂的技能,其中涉及的不仅仅是每年的培训课程或标准、停滞的教育计划所能提供的技能。培训应持续、灵活,旨在让学员参与活跃的真实场景,并根据他们的工作时间表以小批量方式进行。
金融服务公司需要确保安全,既要防范违规行为,又要遵守日益严格的法规。就对公司声誉和金钱成本的影响而言,违规的代价可能与违规行为一样具有破坏性。IBM 的 2023 年数据泄露成本报告,例如,发现违规程度严重的组织平均面临总计 505 万美元——50 万美元的罚款和其他费用 更多 高于实际数据泄露的平均成本。
基于云的环境和数字交易的持续增长使金融服务行业中软件的安全性变得至关重要,PCI DSS等法规也承认这一点。确保软件安全的最佳方法是在 SDLC 开始时进行安全编码。实现这一目标的方法是有效地培训开发人员掌握安全编码实践。
要全面了解安全编码如何帮助确保金融服务公司的成功、安全和利润,您可以阅读新发布的 Secure Code Warrior 电子书: 金融服务安全趋势终极指南。
来看看 安全代码勇士 博客页面提供有关网络安全、日益危险的威胁格局的更多见解,并了解如何利用创新技术和培训来更好地保护您的组织和客户。
%20(1).avif)
.avif)
