PCI-DSS 4.0 wird früher da sein, als Sie denken, und es ist eine Gelegenheit, die Cyber-Resilienz Ihres Unternehmens zu erhöhen
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
Sind Ihre Entwickler bereit, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
Sind Ihre Entwickler bereit, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
Sind Ihre Entwickler bereit, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
Sind Ihre Entwickler bereit, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
Inhaltsverzeichniss
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
