PCI-DSS 4.0 将比您想象的更快问世,这是提升组织网络弹性的机会
这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
对于BFSI领域的公司来说,这是一个千载难逢的机会,可以认真加强其安全计划,开创以人为本的网络弹性的新时代。
为PCI DSS 4.0做好准备的最大挑战是什么?
正如组织的安全计划无所不包,其业务需求和可用资源所独有的复杂性一样,新的 PCI DSS 标准涵盖了很多领域。但是,它们表明,满足安全要求的方法已向灵活性发生了明显的转变,而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 所采用的概念是,有许多方法可以实现密闭安全最佳实践的相同目标。的确如此,但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织,特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底,公司必须做好准备,将安全视为一个持续、不断演变的过程,而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的,整个组织都必须致力于提高安全意识。
而且,那些使用代码级工具(开发群组)的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是实现卓越软件安全状态不可或缺的一部分,这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容,并将其作为默认软件构建方法的一部分进行集成。
三个关键领域代表了与开发团队最相关的变化,可以细分如下:
- 身份验证: 可行的访问控制计划一直是PCI合规性的关键部分,但是,4.0版本将其提升了一个档次,需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准,有关密码复杂性和超时的强化规则也将成为标准。
由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题,因此必须推出精确的培训,以帮助他们在实际代码中识别和修复这些问题。 - 加密和密钥管理: 我们在一个可以通过多个接入点(例如我们的网上银行)访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险,必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁行为者无法读取信息。
- 恶意软件: 在先前的指导方针中,围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”,但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案,并且必须进行持续的记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
对开发人员而言,什么是 “足够” 的培训?
与先前的建议类似,PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是,如果这意味着每年一次足以作为安全软件创建的接触点,那么这还远远不够,也不太可能产生更安全、合规的软件。
开发者教育应从OWASP Top 10中的基础教育开始,以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分,以期继续在这些技能的基础上再接再厉,将安全性从一开始就嵌入到软件开发中,还要嵌入到他们的思维方式和工作方法中。此外,开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任,但只有记录期望并确保可以正确满足这些期望才是公平的。
有了为PCI DSS 4.0合规做准备的准备时间,就有可能在组织范围内改善安全文化方面取得一些重大进展,这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
对于BFSI领域的公司来说,这是一个千载难逢的机会,可以认真加强其安全计划,开创以人为本的网络弹性的新时代。
为PCI DSS 4.0做好准备的最大挑战是什么?
正如组织的安全计划无所不包,其业务需求和可用资源所独有的复杂性一样,新的 PCI DSS 标准涵盖了很多领域。但是,它们表明,满足安全要求的方法已向灵活性发生了明显的转变,而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 所采用的概念是,有许多方法可以实现密闭安全最佳实践的相同目标。的确如此,但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织,特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底,公司必须做好准备,将安全视为一个持续、不断演变的过程,而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的,整个组织都必须致力于提高安全意识。
而且,那些使用代码级工具(开发群组)的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是实现卓越软件安全状态不可或缺的一部分,这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容,并将其作为默认软件构建方法的一部分进行集成。
三个关键领域代表了与开发团队最相关的变化,可以细分如下:
- 身份验证: 可行的访问控制计划一直是PCI合规性的关键部分,但是,4.0版本将其提升了一个档次,需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准,有关密码复杂性和超时的强化规则也将成为标准。
由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题,因此必须推出精确的培训,以帮助他们在实际代码中识别和修复这些问题。 - 加密和密钥管理: 我们在一个可以通过多个接入点(例如我们的网上银行)访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险,必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁行为者无法读取信息。
- 恶意软件: 在先前的指导方针中,围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”,但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案,并且必须进行持续的记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
对开发人员而言,什么是 “足够” 的培训?
与先前的建议类似,PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是,如果这意味着每年一次足以作为安全软件创建的接触点,那么这还远远不够,也不太可能产生更安全、合规的软件。
开发者教育应从OWASP Top 10中的基础教育开始,以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分,以期继续在这些技能的基础上再接再厉,将安全性从一开始就嵌入到软件开发中,还要嵌入到他们的思维方式和工作方法中。此外,开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任,但只有记录期望并确保可以正确满足这些期望才是公平的。
有了为PCI DSS 4.0合规做准备的准备时间,就有可能在组织范围内改善安全文化方面取得一些重大进展,这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。
这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
对于BFSI领域的公司来说,这是一个千载难逢的机会,可以认真加强其安全计划,开创以人为本的网络弹性的新时代。
为PCI DSS 4.0做好准备的最大挑战是什么?
正如组织的安全计划无所不包,其业务需求和可用资源所独有的复杂性一样,新的 PCI DSS 标准涵盖了很多领域。但是,它们表明,满足安全要求的方法已向灵活性发生了明显的转变,而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 所采用的概念是,有许多方法可以实现密闭安全最佳实践的相同目标。的确如此,但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织,特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底,公司必须做好准备,将安全视为一个持续、不断演变的过程,而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的,整个组织都必须致力于提高安全意识。
而且,那些使用代码级工具(开发群组)的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是实现卓越软件安全状态不可或缺的一部分,这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容,并将其作为默认软件构建方法的一部分进行集成。
三个关键领域代表了与开发团队最相关的变化,可以细分如下:
- 身份验证: 可行的访问控制计划一直是PCI合规性的关键部分,但是,4.0版本将其提升了一个档次,需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准,有关密码复杂性和超时的强化规则也将成为标准。
由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题,因此必须推出精确的培训,以帮助他们在实际代码中识别和修复这些问题。 - 加密和密钥管理: 我们在一个可以通过多个接入点(例如我们的网上银行)访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险,必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁行为者无法读取信息。
- 恶意软件: 在先前的指导方针中,围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”,但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案,并且必须进行持续的记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
对开发人员而言,什么是 “足够” 的培训?
与先前的建议类似,PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是,如果这意味着每年一次足以作为安全软件创建的接触点,那么这还远远不够,也不太可能产生更安全、合规的软件。
开发者教育应从OWASP Top 10中的基础教育开始,以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分,以期继续在这些技能的基础上再接再厉,将安全性从一开始就嵌入到软件开发中,还要嵌入到他们的思维方式和工作方法中。此外,开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任,但只有记录期望并确保可以正确满足这些期望才是公平的。
有了为PCI DSS 4.0合规做准备的准备时间,就有可能在组织范围内改善安全文化方面取得一些重大进展,这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。
今年早些时候,PCI安全标准委员会公布了其支付卡行业数据安全标准(PCI DSS)的4.0版本。尽管组织要到2025年3月才能完全遵守4.0,但此次更新是他们迄今为止最具变革性的更新,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。除此之外,还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。
对于BFSI领域的公司来说,这是一个千载难逢的机会,可以认真加强其安全计划,开创以人为本的网络弹性的新时代。
为PCI DSS 4.0做好准备的最大挑战是什么?
正如组织的安全计划无所不包,其业务需求和可用资源所独有的复杂性一样,新的 PCI DSS 标准涵盖了很多领域。但是,它们表明,满足安全要求的方法已向灵活性发生了明显的转变,而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中,这一点意义重大。
PCI DSS 4.0 所采用的概念是,有许多方法可以实现密闭安全最佳实践的相同目标。的确如此,但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织,特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底,公司必须做好准备,将安全视为一个持续、不断演变的过程,而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的,整个组织都必须致力于提高安全意识。
而且,那些使用代码级工具(开发群组)的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是实现卓越软件安全状态不可或缺的一部分,这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容,并将其作为默认软件构建方法的一部分进行集成。
三个关键领域代表了与开发团队最相关的变化,可以细分如下:
- 身份验证: 可行的访问控制计划一直是PCI合规性的关键部分,但是,4.0版本将其提升了一个档次,需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准,有关密码复杂性和超时的强化规则也将成为标准。
由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题,因此必须推出精确的培训,以帮助他们在实际代码中识别和修复这些问题。 - 加密和密钥管理: 我们在一个可以通过多个接入点(例如我们的网上银行)访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险,必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁行为者无法读取信息。
- 恶意软件: 在先前的指导方针中,围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”,但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案,并且必须进行持续的记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
对开发人员而言,什么是 “足够” 的培训?
与先前的建议类似,PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是,如果这意味着每年一次足以作为安全软件创建的接触点,那么这还远远不够,也不太可能产生更安全、合规的软件。
开发者教育应从OWASP Top 10中的基础教育开始,以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分,以期继续在这些技能的基础上再接再厉,将安全性从一开始就嵌入到软件开发中,还要嵌入到他们的思维方式和工作方法中。此外,开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任,但只有记录期望并确保可以正确满足这些期望才是公平的。
有了为PCI DSS 4.0合规做准备的准备时间,就有可能在组织范围内改善安全文化方面取得一些重大进展,这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
