将乏味的 PCI-DSS 合规性变成对每个人都有意义的练习:第 2 部分-首席信息安全官和开发人员意识
这是关于组织内PCI-DSS合规性的迷你系列的第二部分。在最后一章中,我们将详细介绍首席技术官和首席信息安全官如何从高层领导降低网络风险,使流程顺畅、成功... 也许还能为开发人员带来一点乐趣。(你错过了第一部分吗? 在这里查看 并了解 AppSec 专家如何抓住这个机会以获得更好的安全结果)。
PCI-DSS最佳实践无疑是一项共同责任,但首席信息安全官和首席技术官可以利用他们的巨大影响力,从高层起草一项蓬勃发展、积极的安全计划。他们是网络安全信任和最终用户相关情绪的代言人,尽早关注意识会产生强大的渗透效应,帮助开发人员和AppSec专业人员获得所需的知识、工具和支持,为公司内部的强大安全态势做出贡献。
保持合规很重要,但是当每个人都明白 “为什么”,看到结果并以正确的方式进行培育时,一项计划可以超越立法,成为第二本质。
首席技术官和首席信息安全官在建立相互信任方面可以发挥作用
你最近是否访问过某个网站,在交出信用卡详细信息时三思而后行?除非是外观粗略的网络应用程序为当地披萨店的在线订购提供支持,否则这可能不是你经常遇到的事情,尤其是对于在线零售领域的大公司和家喻户晓的公司来说。
当然,除非他们披露了数据泄露事件。
全球住宿巨头万豪刚刚透露了他们的 三年内发生的第二次违规行为,这导致520万条客户记录被盗。这次,支付信息似乎还不是抢劫的一部分,尽管他们在2018年的灾难性漏洞解决了这个问题; 3.83 亿客户遭到入侵,有500万个未加密的护照号码被盗,800万个信用卡号被盗。
如果客户对万豪品牌的信任度还没有达到应有的水平,我想说它很快就会跌至谷底。这种东西让首席信息安全官们彻夜难眠,因为他们感觉就像在对抗网络威胁的战争中坐视不管。看看Equifax、雅虎、索尼、塔吉特——这些只是经历过大规模泄露的几个知名企业,它们代表着数十亿条数据记录被盗,数千亿美元的损失,以及在经济心中打入的客户形成的漏洞。这对企业来说是一场灾难(塔吉特报告说 利润暴跌4.4亿美元 在2014年泄露后的季度中),尽管个人通常不承担责任——毕竟,软件安全应该是一项共同的责任,但如果你当时碰巧在这些组织工作,那并不是你希望在原本光鲜的简历上看到的。
放弃一项强有力的安全计划,以实现处理支付、敏感数据和无形金币(即积极的客户情绪)的合规性,这表明一家公司不仅面临风险,而且在创新方面严重落后。
每个人都应该关心客户/组织关系中的信任问题。
除了信息泄露后IT、开发和安全部门面临的压力和灾难外,信任因素是新公司长期成功或老牌公司持续增长的重要因素。如果公司因失去信心而面临经济衰退,那么你将失去的显而易见的是你的工作。
PCI-DSS法规要求企业承担责任——如上所述,忽视这些精心制定的计划会产生巨大的影响——但它们的有效性取决于已制定的安全计划以及在其中工作的员工。如果你认真对待他们,保持警惕,为他人树立榜样,那么你就是在以一种非常积极的方式让自己与众不同。
意识就是一切。
失败的安全意识计划将使大多数保持PCI合规的尝试几乎毫无用处。全组织的安全意识构成了最佳实践指南中最关键的部分;他们甚至 提供自己的培训模块 关于如何在跨职能角色中实现这一点,以及在做对的企业中会是什么样子。
随着我们朝着将DevSecOps作为当前安全软件开发的黄金标准(其中安全作为一项共同责任至关重要),企业必须花费时间、金钱和精力来确保包括供应商和承包商在内的每个人都具有安全意识并遵循最佳实践。
具有安全意识的开发人员是合规的开发人员(到达那里不一定很无聊)
要成为 “认证” 合规的PCI-DSS开发人员,没有太多显而易见的选择。为什么?可能是因为它不可能是 “一次完成” 的练习。
这个 OWASP 在学习如何阻止常见漏洞方面,组织是全球最好的组织之一,他们的前十名已正式列在面向开发者的PCI-DSS指南中。但是,将安全放在首位并磨练技能需要时间和持续的精力。没有人希望这平淡无奇,浪费精力。
积极的安全文化在组织中不是 “好事”;如果他们认真对待安全问题,那么它就必须成为公司日常运作的一部分。
在阻止漏洞方面,开发人员处于战斗的第一线。他们是否获得了支持、工具和培训,以维护他们在PCI-DSS合规性方面的安全协议?
事实是,正确的培训更加顺畅;它不应该像一场讲座,它应该与每天的工作高度相关。而这种动手培训是一种提高技能的机会——这种职业转变只会对认真对待阻止漏洞并与团队其他成员合作制定更高标准代码的开发人员产生积极影响。
想立即测试您的安全编码技能吗? 选择你的任务。
这是关于组织内PCI-DSS合规性的迷你系列的第二部分。在最后一章中,我们将详细介绍首席技术官和首席信息安全官如何从高层领导降低网络风险,使流程顺畅、成功... 也许还能为开发人员带来一点乐趣。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这是关于组织内PCI-DSS合规性的迷你系列的第二部分。在最后一章中,我们将详细介绍首席技术官和首席信息安全官如何从高层领导降低网络风险,使流程顺畅、成功... 也许还能为开发人员带来一点乐趣。(你错过了第一部分吗? 在这里查看 并了解 AppSec 专家如何抓住这个机会以获得更好的安全结果)。
PCI-DSS最佳实践无疑是一项共同责任,但首席信息安全官和首席技术官可以利用他们的巨大影响力,从高层起草一项蓬勃发展、积极的安全计划。他们是网络安全信任和最终用户相关情绪的代言人,尽早关注意识会产生强大的渗透效应,帮助开发人员和AppSec专业人员获得所需的知识、工具和支持,为公司内部的强大安全态势做出贡献。
保持合规很重要,但是当每个人都明白 “为什么”,看到结果并以正确的方式进行培育时,一项计划可以超越立法,成为第二本质。
首席技术官和首席信息安全官在建立相互信任方面可以发挥作用
你最近是否访问过某个网站,在交出信用卡详细信息时三思而后行?除非是外观粗略的网络应用程序为当地披萨店的在线订购提供支持,否则这可能不是你经常遇到的事情,尤其是对于在线零售领域的大公司和家喻户晓的公司来说。
当然,除非他们披露了数据泄露事件。
全球住宿巨头万豪刚刚透露了他们的 三年内发生的第二次违规行为,这导致520万条客户记录被盗。这次,支付信息似乎还不是抢劫的一部分,尽管他们在2018年的灾难性漏洞解决了这个问题; 3.83 亿客户遭到入侵,有500万个未加密的护照号码被盗,800万个信用卡号被盗。
如果客户对万豪品牌的信任度还没有达到应有的水平,我想说它很快就会跌至谷底。这种东西让首席信息安全官们彻夜难眠,因为他们感觉就像在对抗网络威胁的战争中坐视不管。看看Equifax、雅虎、索尼、塔吉特——这些只是经历过大规模泄露的几个知名企业,它们代表着数十亿条数据记录被盗,数千亿美元的损失,以及在经济心中打入的客户形成的漏洞。这对企业来说是一场灾难(塔吉特报告说 利润暴跌4.4亿美元 在2014年泄露后的季度中),尽管个人通常不承担责任——毕竟,软件安全应该是一项共同的责任,但如果你当时碰巧在这些组织工作,那并不是你希望在原本光鲜的简历上看到的。
放弃一项强有力的安全计划,以实现处理支付、敏感数据和无形金币(即积极的客户情绪)的合规性,这表明一家公司不仅面临风险,而且在创新方面严重落后。
每个人都应该关心客户/组织关系中的信任问题。
除了信息泄露后IT、开发和安全部门面临的压力和灾难外,信任因素是新公司长期成功或老牌公司持续增长的重要因素。如果公司因失去信心而面临经济衰退,那么你将失去的显而易见的是你的工作。
PCI-DSS法规要求企业承担责任——如上所述,忽视这些精心制定的计划会产生巨大的影响——但它们的有效性取决于已制定的安全计划以及在其中工作的员工。如果你认真对待他们,保持警惕,为他人树立榜样,那么你就是在以一种非常积极的方式让自己与众不同。
意识就是一切。
失败的安全意识计划将使大多数保持PCI合规的尝试几乎毫无用处。全组织的安全意识构成了最佳实践指南中最关键的部分;他们甚至 提供自己的培训模块 关于如何在跨职能角色中实现这一点,以及在做对的企业中会是什么样子。
随着我们朝着将DevSecOps作为当前安全软件开发的黄金标准(其中安全作为一项共同责任至关重要),企业必须花费时间、金钱和精力来确保包括供应商和承包商在内的每个人都具有安全意识并遵循最佳实践。
具有安全意识的开发人员是合规的开发人员(到达那里不一定很无聊)
要成为 “认证” 合规的PCI-DSS开发人员,没有太多显而易见的选择。为什么?可能是因为它不可能是 “一次完成” 的练习。
这个 OWASP 在学习如何阻止常见漏洞方面,组织是全球最好的组织之一,他们的前十名已正式列在面向开发者的PCI-DSS指南中。但是,将安全放在首位并磨练技能需要时间和持续的精力。没有人希望这平淡无奇,浪费精力。
积极的安全文化在组织中不是 “好事”;如果他们认真对待安全问题,那么它就必须成为公司日常运作的一部分。
在阻止漏洞方面,开发人员处于战斗的第一线。他们是否获得了支持、工具和培训,以维护他们在PCI-DSS合规性方面的安全协议?
事实是,正确的培训更加顺畅;它不应该像一场讲座,它应该与每天的工作高度相关。而这种动手培训是一种提高技能的机会——这种职业转变只会对认真对待阻止漏洞并与团队其他成员合作制定更高标准代码的开发人员产生积极影响。
想立即测试您的安全编码技能吗? 选择你的任务。
这是关于组织内PCI-DSS合规性的迷你系列的第二部分。在最后一章中,我们将详细介绍首席技术官和首席信息安全官如何从高层领导降低网络风险,使流程顺畅、成功... 也许还能为开发人员带来一点乐趣。(你错过了第一部分吗? 在这里查看 并了解 AppSec 专家如何抓住这个机会以获得更好的安全结果)。
PCI-DSS最佳实践无疑是一项共同责任,但首席信息安全官和首席技术官可以利用他们的巨大影响力,从高层起草一项蓬勃发展、积极的安全计划。他们是网络安全信任和最终用户相关情绪的代言人,尽早关注意识会产生强大的渗透效应,帮助开发人员和AppSec专业人员获得所需的知识、工具和支持,为公司内部的强大安全态势做出贡献。
保持合规很重要,但是当每个人都明白 “为什么”,看到结果并以正确的方式进行培育时,一项计划可以超越立法,成为第二本质。
首席技术官和首席信息安全官在建立相互信任方面可以发挥作用
你最近是否访问过某个网站,在交出信用卡详细信息时三思而后行?除非是外观粗略的网络应用程序为当地披萨店的在线订购提供支持,否则这可能不是你经常遇到的事情,尤其是对于在线零售领域的大公司和家喻户晓的公司来说。
当然,除非他们披露了数据泄露事件。
全球住宿巨头万豪刚刚透露了他们的 三年内发生的第二次违规行为,这导致520万条客户记录被盗。这次,支付信息似乎还不是抢劫的一部分,尽管他们在2018年的灾难性漏洞解决了这个问题; 3.83 亿客户遭到入侵,有500万个未加密的护照号码被盗,800万个信用卡号被盗。
如果客户对万豪品牌的信任度还没有达到应有的水平,我想说它很快就会跌至谷底。这种东西让首席信息安全官们彻夜难眠,因为他们感觉就像在对抗网络威胁的战争中坐视不管。看看Equifax、雅虎、索尼、塔吉特——这些只是经历过大规模泄露的几个知名企业,它们代表着数十亿条数据记录被盗,数千亿美元的损失,以及在经济心中打入的客户形成的漏洞。这对企业来说是一场灾难(塔吉特报告说 利润暴跌4.4亿美元 在2014年泄露后的季度中),尽管个人通常不承担责任——毕竟,软件安全应该是一项共同的责任,但如果你当时碰巧在这些组织工作,那并不是你希望在原本光鲜的简历上看到的。
放弃一项强有力的安全计划,以实现处理支付、敏感数据和无形金币(即积极的客户情绪)的合规性,这表明一家公司不仅面临风险,而且在创新方面严重落后。
每个人都应该关心客户/组织关系中的信任问题。
除了信息泄露后IT、开发和安全部门面临的压力和灾难外,信任因素是新公司长期成功或老牌公司持续增长的重要因素。如果公司因失去信心而面临经济衰退,那么你将失去的显而易见的是你的工作。
PCI-DSS法规要求企业承担责任——如上所述,忽视这些精心制定的计划会产生巨大的影响——但它们的有效性取决于已制定的安全计划以及在其中工作的员工。如果你认真对待他们,保持警惕,为他人树立榜样,那么你就是在以一种非常积极的方式让自己与众不同。
意识就是一切。
失败的安全意识计划将使大多数保持PCI合规的尝试几乎毫无用处。全组织的安全意识构成了最佳实践指南中最关键的部分;他们甚至 提供自己的培训模块 关于如何在跨职能角色中实现这一点,以及在做对的企业中会是什么样子。
随着我们朝着将DevSecOps作为当前安全软件开发的黄金标准(其中安全作为一项共同责任至关重要),企业必须花费时间、金钱和精力来确保包括供应商和承包商在内的每个人都具有安全意识并遵循最佳实践。
具有安全意识的开发人员是合规的开发人员(到达那里不一定很无聊)
要成为 “认证” 合规的PCI-DSS开发人员,没有太多显而易见的选择。为什么?可能是因为它不可能是 “一次完成” 的练习。
这个 OWASP 在学习如何阻止常见漏洞方面,组织是全球最好的组织之一,他们的前十名已正式列在面向开发者的PCI-DSS指南中。但是,将安全放在首位并磨练技能需要时间和持续的精力。没有人希望这平淡无奇,浪费精力。
积极的安全文化在组织中不是 “好事”;如果他们认真对待安全问题,那么它就必须成为公司日常运作的一部分。
在阻止漏洞方面,开发人员处于战斗的第一线。他们是否获得了支持、工具和培训,以维护他们在PCI-DSS合规性方面的安全协议?
事实是,正确的培训更加顺畅;它不应该像一场讲座,它应该与每天的工作高度相关。而这种动手培训是一种提高技能的机会——这种职业转变只会对认真对待阻止漏洞并与团队其他成员合作制定更高标准代码的开发人员产生积极影响。
想立即测试您的安全编码技能吗? 选择你的任务。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这是关于组织内PCI-DSS合规性的迷你系列的第二部分。在最后一章中,我们将详细介绍首席技术官和首席信息安全官如何从高层领导降低网络风险,使流程顺畅、成功... 也许还能为开发人员带来一点乐趣。(你错过了第一部分吗? 在这里查看 并了解 AppSec 专家如何抓住这个机会以获得更好的安全结果)。
PCI-DSS最佳实践无疑是一项共同责任,但首席信息安全官和首席技术官可以利用他们的巨大影响力,从高层起草一项蓬勃发展、积极的安全计划。他们是网络安全信任和最终用户相关情绪的代言人,尽早关注意识会产生强大的渗透效应,帮助开发人员和AppSec专业人员获得所需的知识、工具和支持,为公司内部的强大安全态势做出贡献。
保持合规很重要,但是当每个人都明白 “为什么”,看到结果并以正确的方式进行培育时,一项计划可以超越立法,成为第二本质。
首席技术官和首席信息安全官在建立相互信任方面可以发挥作用
你最近是否访问过某个网站,在交出信用卡详细信息时三思而后行?除非是外观粗略的网络应用程序为当地披萨店的在线订购提供支持,否则这可能不是你经常遇到的事情,尤其是对于在线零售领域的大公司和家喻户晓的公司来说。
当然,除非他们披露了数据泄露事件。
全球住宿巨头万豪刚刚透露了他们的 三年内发生的第二次违规行为,这导致520万条客户记录被盗。这次,支付信息似乎还不是抢劫的一部分,尽管他们在2018年的灾难性漏洞解决了这个问题; 3.83 亿客户遭到入侵,有500万个未加密的护照号码被盗,800万个信用卡号被盗。
如果客户对万豪品牌的信任度还没有达到应有的水平,我想说它很快就会跌至谷底。这种东西让首席信息安全官们彻夜难眠,因为他们感觉就像在对抗网络威胁的战争中坐视不管。看看Equifax、雅虎、索尼、塔吉特——这些只是经历过大规模泄露的几个知名企业,它们代表着数十亿条数据记录被盗,数千亿美元的损失,以及在经济心中打入的客户形成的漏洞。这对企业来说是一场灾难(塔吉特报告说 利润暴跌4.4亿美元 在2014年泄露后的季度中),尽管个人通常不承担责任——毕竟,软件安全应该是一项共同的责任,但如果你当时碰巧在这些组织工作,那并不是你希望在原本光鲜的简历上看到的。
放弃一项强有力的安全计划,以实现处理支付、敏感数据和无形金币(即积极的客户情绪)的合规性,这表明一家公司不仅面临风险,而且在创新方面严重落后。
每个人都应该关心客户/组织关系中的信任问题。
除了信息泄露后IT、开发和安全部门面临的压力和灾难外,信任因素是新公司长期成功或老牌公司持续增长的重要因素。如果公司因失去信心而面临经济衰退,那么你将失去的显而易见的是你的工作。
PCI-DSS法规要求企业承担责任——如上所述,忽视这些精心制定的计划会产生巨大的影响——但它们的有效性取决于已制定的安全计划以及在其中工作的员工。如果你认真对待他们,保持警惕,为他人树立榜样,那么你就是在以一种非常积极的方式让自己与众不同。
意识就是一切。
失败的安全意识计划将使大多数保持PCI合规的尝试几乎毫无用处。全组织的安全意识构成了最佳实践指南中最关键的部分;他们甚至 提供自己的培训模块 关于如何在跨职能角色中实现这一点,以及在做对的企业中会是什么样子。
随着我们朝着将DevSecOps作为当前安全软件开发的黄金标准(其中安全作为一项共同责任至关重要),企业必须花费时间、金钱和精力来确保包括供应商和承包商在内的每个人都具有安全意识并遵循最佳实践。
具有安全意识的开发人员是合规的开发人员(到达那里不一定很无聊)
要成为 “认证” 合规的PCI-DSS开发人员,没有太多显而易见的选择。为什么?可能是因为它不可能是 “一次完成” 的练习。
这个 OWASP 在学习如何阻止常见漏洞方面,组织是全球最好的组织之一,他们的前十名已正式列在面向开发者的PCI-DSS指南中。但是,将安全放在首位并磨练技能需要时间和持续的精力。没有人希望这平淡无奇,浪费精力。
积极的安全文化在组织中不是 “好事”;如果他们认真对待安全问题,那么它就必须成为公司日常运作的一部分。
在阻止漏洞方面,开发人员处于战斗的第一线。他们是否获得了支持、工具和培训,以维护他们在PCI-DSS合规性方面的安全协议?
事实是,正确的培训更加顺畅;它不应该像一场讲座,它应该与每天的工作高度相关。而这种动手培训是一种提高技能的机会——这种职业转变只会对认真对待阻止漏洞并与团队其他成员合作制定更高标准代码的开发人员产生积极影响。
想立即测试您的安全编码技能吗? 选择你的任务。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载
%20(1).avif)
.avif)
