금메달을 노리다: Paysafe의 급증하는 보안 코드 표준

Paysafe는 금융 거래를 신뢰에 기반한 경험으로 전환하는 데 도움을 줍니다. 또한 연간 152억 달러 이상의 거래량을 처리하는 안전하고 원활한 플랫폼을 제공하려면 기본적인 규정 준수 표준을 충족하는 것 이상이 필요하다는 것을 알고 있습니다.지난 4년 동안 Paysafe는 Secure Code Warrior와의 파트너십을 통해 개발자 위험 관리에 대한 총체적인 접근 방식을 지속적으로 추진해 왔으며, 애플리케이션 보안 프로그램은 다음을 포함하여 전반적인 비즈니스 요구에 긍정적인 영향을 미쳤습니다.

‍
과제: Paysafe 전반의 보안 코드 표준 강화

다국적 온라인 결제 제공업체인 Paysafe는 항상 보안 코딩을 단순히 PCI DSS 규정 준수 요구 사항을 충족하는 것을 넘어서는 전략적 우선 순위로 여겼습니다.Paysafe의 목표는 전문가가 주도하는 공식적인 강의실 교육 세션과 기술 평가가 초기 노력의 일부였지만, 항상 보안 코딩 이니셔티브의 범위와 규모를 지속적으로 확장하여 애플리케이션 보안에 대한 동급 최고의 접근 방식을 보장하고 엔지니어가 처음부터 보안 코드를 작성하도록 하는 것이었습니다.

“우리에게 있어 교육을 제공한 상자를 체크하는 것은 결코 쉬운 일이 아닙니다.우리의 목표는 직원들이 진행 중인 개발 상황을 계속 알 수 있도록 하는 것입니다.우리는 항상 더 나은 사람이 되고 더 많은 일을 하기 위해 노력하고 있습니다.엔지니어링 팀과 보안 팀이 협업하기를 바랍니다.스스로 개발할 수 있는 팀은 더 많은 정보를 얻고 더 나은 코드를 설계할 수 있습니다.” 라고 Paysafe의 인력 개발 파트너인 Boyan Hristov가 말했습니다.

Paysafe의 비전은 보안을 좌절시키고 소프트웨어 개발 라이프사이클의 모든 단계에 보안 코딩 사례를 적용하는 보안 인식 엔지니어를 양성하는 것이었습니다.이를 지원하기 위해서는 PCI 규정 준수를 위한 감사 증거를 제공할 뿐만 아니라 심층적이고 지속적인 문화적 변화를 주도할 수 있는 확장 가능하고 참여도가 높으며 지속적인 프로그램이 필요했습니다.여기에는 게임화된 학습 경험, 정기 토너먼트, 개발자의 참여를 유도하고 업계 보안 트렌드의 선두에 서도록 유도하는 상시 교육 등이 포함되었습니다.

솔루션: 보안 코드 워리어를 사용한 최첨단 접근 방식

Paysafe는 Secure Code Warrior의 개발자 위험 관리 플랫폼을 채택하여 보안 코딩 관행을 확장하고 엔지니어를 참여시키고 개발 라이프사이클 초기에 보안을 포함하도록 지원했습니다.Secure Code Warrior가 사이버 위험 예방 목표를 달성하는 데 중요한 역할을 하는 등 보안 챔피언 프로그램은 시간이 지남에 따라 성장해 왔습니다.

Paysafe는 개발자들이 플랫폼에 유기적으로 참여할 수 있도록 해주었고, 토너먼트와 같은 게임화된 활동을 장려하고 매력적인 상품을 제공하여 개발자들의 참여와 흥미를 불러일으켰습니다.이 프로그램이 처음 출시되었을 때, 그들은 PCI 규정 준수 요구 사항을 충족하는 데 도움이 되는 몇 가지 평가를 의무화하고 다른 콘텐츠와 활동을 옵션으로 제공했습니다.

프로그램이 인기를 얻자 경영진은 추가 지원을 제공하여 개발 및 정보보안 팀의 목표를 더욱 조율했습니다.이를 통해 Paysafe 팀은 프로그램을 한 단계 끌어올리고 지정된 KPI와 성공 인센티브가 포함된 보다 공식적인 인증 프로그램을 도입할 수 있었습니다.

프로그램의 다음 단계에서는 업계 표준 OWASP Top 10 주제에 초점을 맞췄으며, 인증 단계를 통해 개발자는 다양한 수준의 성과를 거둘 수 있습니다.이제 이 프로그램은 새로운 수준의 규모와 성숙도에 도달하여 정규직에서 비정규직 근로자에 이르기까지 전반적으로 개발자의 기준 기준이 높아졌습니다.

‍“우리는 지난 4년간 SCW와 맺은 파트너십을 매우 소중하게 생각합니다.Paysafe의 최고 정보 보안 책임자인 앨런 오스본 (Alan Osborne) 은 이렇게 말합니다. 덕분에 우리는 SDLC에서 최초로 가능한 한 빨리 보안 코드를 개발하겠다는 공동의 약속을 바탕으로 맞춤형 애플리케이션 보안 교육을 제공하고 보안팀과 엔지니어링 팀 간의 관계를 강화할 수 있었습니다.

엔지니어링 전반에 걸친 CISO, CTO 및 경영진의 지속적인 지원과 조정을 통해 Paysafe는 Secure Code Warrior와 협력하여 프로그램을 지속적으로 발전시켰습니다.오늘날 이 프로그램은 비즈니스 요구와 긴밀하게 연계되어 있으며, 가시적인 성과를 제공하며, 내부 팀에게도 관련성이 높고 참여도가 높습니다.

결과: 조직 전반의 보안 코드에 대한 새로운 표준

Paysafe의 애플리케이션 보안 이니셔티브는 4년 전 여정을 시작한 이래로 개선되었습니다.Paysafe는 Secure Code Warrior와의 파트너십을 통해 개발자 위험 관리에 대한 전체적인 접근 방식이 조직 전체에 미칠 수 있는 엄청난 영향을 입증했습니다.

Paysafe에서 SAST 스캔 데이터를 분석한 결과 Secure Code Warrior로 교육을 받은 팀에서 개발한 애플리케이션은 초기 개발 스캔에서 탐지된 취약성이 눈에 띄게 감소한 것으로 나타났습니다.개발자들이 SCW 플랫폼을 더 적극적으로 사용하는 팀에서는 첫 번째 검사에서 발견된 취약점의 수가 더 줄어들었습니다.

Secure Code Warrior에서 활동 및 참여도가 가장 높은 팀은 초기 개발 단계에서 발견된 취약점이 해마다 크게 감소했습니다. 이는 보안 코딩 습관을 강화하는 데 있어 지속적인 기술 기반 교육의 부가가치를 강조한 것입니다.처음부터 보안 코드를 만들었기 때문에 팀과 다른 팀이 SDLC를 사용하는 데 상당한 시간을 절약할 수 있었습니다.개발 초기에 코드 취약성을 예방하여 코드 취약성을 식별, 기록 및 재작업하지 않아도 되므로 개발 시간이 수천 시간 절약되었습니다.그 결과 개발자 생산성이 45% 향상되었으며, 이는 보안 코드 업스킬링의 이점을 입증하고 일상적인 개발 프로세스를 개선하는 데 도움이 되었습니다.엔지니어링 팀과 AppSec 팀 모두 윈윈할 수 있는 기회입니다.

Paysafe는 보안 코드에 대한 헌신을 바탕으로 두각을 나타내고 SCW 신뢰 점수 4위를 차지했습니다.^® 은행 및 금융 서비스 벤치마크 내Paysafe가 자랑스럽게 생각하는 성과이긴 하지만 보안 코드 이니셔티브를 위한 Paysafe의 노력은 여기서 그치지 않습니다.Secure Code Warrior와의 파트너십을 통해 얻은 성과에 힘입어 Paysafe는 프로그램을 더욱 발전시키고자 합니다.

Paysafe의 최고 정보 보안 책임자인 앨런 오스본 (Alan Osborne) 은 “Secure Code Warrior는 개발자 생산성을 높이고, 제품 및 개선 사항을 시장에 출시하는 능력을 가속화하고, 시간이 지남에 따라 비용과 위험을 크게 줄이는 데 도움이 되었습니다.” 라고 말합니다.“우리는 향상된 개발자 교육을 기반으로 하는 보안 코딩이 단순히 '있으면 좋을' 것이 아니라 개발자의 기술, 경험 및 역량을 강화하는 동시에 실질적인 ROI를 제공하는 검증된 투자라는 것을 입증했습니다.”

다음으로 Paysafe는 SCW Trust Agent가 Secure Code Warrior와의 오랜 파트너십을 강화하고 사이버 보안 우수성에 대한 약속을 입증함으로써 프로세스에 추가 거버넌스 및 위험 관리 조치를 통합하여 보안 표준을 더욱 운영하는 것을 목표로 합니다.