有了适当的支持,开发人员可以引导您的组织实现卓越的 PCI DSS 4.0 合规性
这篇文章的一个版本最初出现在 DZone。它已在此处更新和发布。
支付卡行业数据安全标准 (PCI DSS) 4.0 版将 几乎改变一切 关于接受电子支付(占绝大多数)的任何企业或组织的安全。毫无疑问,此次更新对大多数企业来说将是变革性的,要求他们升级许多安全流程,并有可能在加密、身份验证、访问控制、密钥管理和其他领域推出新的保护措施,而这些领域以前可能进展缓慢。
由于新要求的复杂性,各组织只能在2025年3月之前完全合规。但是这个截止日期将比大多数人意识到的要早到来。实际上,许多具有前瞻性的公司目前正在采取措施,使他们的开发人员能够驾驭悬而未决的合规格局。
超越开箱即用的训练
组织的开发人员编写其大部分基础架构所依赖的代码,因此,在实施新的 PCI DSS 4.0 要求时,他们是一个不错的起点。但是,作为更新的安全意识计划的一部分,大多数开发人员将需要战略支持来提高技能。这是为了确保他们具备实施和维护新标准所要求的更高安全级别所需的经验。
实际上,PCI DSS 4.0的要求12.6.2指导组织实施正式的安全计划,并使用最新的威胁信息和防御技术对其进行更新。使用较旧的标准,基本安全计划甚至 “复选框” 式的年度合规培训都达到了目标。这项新标准的要求远不止于此,甚至要求安全培训计划应对公司环境中的特定威胁和漏洞。例如,如果身份被盗对组织来说是一个大问题,那么培训就需要解决这个问题。
很明显,无论从实际角度还是从遵守新标准的角度来看,最低限度的培训都不再足够。相反,组织需要为开发人员提供全面、敏捷的学习途径,教会他们如何将安全最佳实践应用到实际的日常工作中。通过超越最低限度的合规性工作,为开发人员提供真正了解安全性所需的资源,组织可以帮助其开发人员做出更好的总体安全决策,同时遵守 PCI DSS 4.0。
好消息是,PCI DSS 4.0中的许多新要求都针对大多数开发人员已经熟悉的领域,例如身份验证、加密、访问控制、密钥管理等。当为开发人员提供合适的、相关的和熟悉的资源来提高他们的技能时,组织可以更轻松地为他们做好准备,以应对 PCI DSS 4.0 要求的新标准和更大的责任。
使用 PCI DSS 4.0 作为跑道来提高整体安全性
虽然通过良好的安全教育满足开发者的需求将是成功遵守新的 PCI DSS 4.0 标准的关键,但推动组织走向更好的网络安全的努力并不一定就此结束。是的,这些要求很严格,但是由于大多数组织都需要努力遵守这些要求,因此没有理由不利用这种努力作为启动更好的总体安全意识和培训的跳板。这不仅可以帮助组织满足合规要求,还可以开始培养一种积极的安全文化,这种文化将最佳实践列为优先事项,并确保组织中的每个人都朝着相同的 “安全第一” 目标努力。
当然,有一段学习曲线,但开发人员很可能会付出这样的努力。在埃文斯的数据中 调查 在全球活跃的1,200多名专业开发人员中,绝大多数表示支持创建安全代码并在组织中建立更好的安全文化的概念。显然,大多数开发人员欢迎在开发过程中从战略角度转向安全编码,并重新确定安全优先级。
PCI DSS 4.0规定的安全升级为公司投资改进安全最佳实践和培训,并在组织内接受更好的整体安全文化提供了一个完美的借口。
如果开发人员公司投资一项计划,使他们能够将安全编码技能与相关工具和培训相结合,则开发人员可以更轻松地实现更高的安全成熟度。这反过来有助于营造一种安全文化,在这种文化中,开发人员可以进一步做出更好的决策,从而改善组织的整体安全状况,甚至远远超过严格的新PCI DSS 4.0标准。
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
这篇文章的一个版本最初出现在 DZone。它已在此处更新和发布。
支付卡行业数据安全标准 (PCI DSS) 4.0 版将 几乎改变一切 关于接受电子支付(占绝大多数)的任何企业或组织的安全。毫无疑问,此次更新对大多数企业来说将是变革性的,要求他们升级许多安全流程,并有可能在加密、身份验证、访问控制、密钥管理和其他领域推出新的保护措施,而这些领域以前可能进展缓慢。
由于新要求的复杂性,各组织只能在2025年3月之前完全合规。但是这个截止日期将比大多数人意识到的要早到来。实际上,许多具有前瞻性的公司目前正在采取措施,使他们的开发人员能够驾驭悬而未决的合规格局。
超越开箱即用的训练
组织的开发人员编写其大部分基础架构所依赖的代码,因此,在实施新的 PCI DSS 4.0 要求时,他们是一个不错的起点。但是,作为更新的安全意识计划的一部分,大多数开发人员将需要战略支持来提高技能。这是为了确保他们具备实施和维护新标准所要求的更高安全级别所需的经验。
实际上,PCI DSS 4.0的要求12.6.2指导组织实施正式的安全计划,并使用最新的威胁信息和防御技术对其进行更新。使用较旧的标准,基本安全计划甚至 “复选框” 式的年度合规培训都达到了目标。这项新标准的要求远不止于此,甚至要求安全培训计划应对公司环境中的特定威胁和漏洞。例如,如果身份被盗对组织来说是一个大问题,那么培训就需要解决这个问题。
很明显,无论从实际角度还是从遵守新标准的角度来看,最低限度的培训都不再足够。相反,组织需要为开发人员提供全面、敏捷的学习途径,教会他们如何将安全最佳实践应用到实际的日常工作中。通过超越最低限度的合规性工作,为开发人员提供真正了解安全性所需的资源,组织可以帮助其开发人员做出更好的总体安全决策,同时遵守 PCI DSS 4.0。
好消息是,PCI DSS 4.0中的许多新要求都针对大多数开发人员已经熟悉的领域,例如身份验证、加密、访问控制、密钥管理等。当为开发人员提供合适的、相关的和熟悉的资源来提高他们的技能时,组织可以更轻松地为他们做好准备,以应对 PCI DSS 4.0 要求的新标准和更大的责任。
使用 PCI DSS 4.0 作为跑道来提高整体安全性
虽然通过良好的安全教育满足开发者的需求将是成功遵守新的 PCI DSS 4.0 标准的关键,但推动组织走向更好的网络安全的努力并不一定就此结束。是的,这些要求很严格,但是由于大多数组织都需要努力遵守这些要求,因此没有理由不利用这种努力作为启动更好的总体安全意识和培训的跳板。这不仅可以帮助组织满足合规要求,还可以开始培养一种积极的安全文化,这种文化将最佳实践列为优先事项,并确保组织中的每个人都朝着相同的 “安全第一” 目标努力。
当然,有一段学习曲线,但开发人员很可能会付出这样的努力。在埃文斯的数据中 调查 在全球活跃的1,200多名专业开发人员中,绝大多数表示支持创建安全代码并在组织中建立更好的安全文化的概念。显然,大多数开发人员欢迎在开发过程中从战略角度转向安全编码,并重新确定安全优先级。
PCI DSS 4.0规定的安全升级为公司投资改进安全最佳实践和培训,并在组织内接受更好的整体安全文化提供了一个完美的借口。
如果开发人员公司投资一项计划,使他们能够将安全编码技能与相关工具和培训相结合,则开发人员可以更轻松地实现更高的安全成熟度。这反过来有助于营造一种安全文化,在这种文化中,开发人员可以进一步做出更好的决策,从而改善组织的整体安全状况,甚至远远超过严格的新PCI DSS 4.0标准。
这篇文章的一个版本最初出现在 DZone。它已在此处更新和发布。
支付卡行业数据安全标准 (PCI DSS) 4.0 版将 几乎改变一切 关于接受电子支付(占绝大多数)的任何企业或组织的安全。毫无疑问,此次更新对大多数企业来说将是变革性的,要求他们升级许多安全流程,并有可能在加密、身份验证、访问控制、密钥管理和其他领域推出新的保护措施,而这些领域以前可能进展缓慢。
由于新要求的复杂性,各组织只能在2025年3月之前完全合规。但是这个截止日期将比大多数人意识到的要早到来。实际上,许多具有前瞻性的公司目前正在采取措施,使他们的开发人员能够驾驭悬而未决的合规格局。
超越开箱即用的训练
组织的开发人员编写其大部分基础架构所依赖的代码,因此,在实施新的 PCI DSS 4.0 要求时,他们是一个不错的起点。但是,作为更新的安全意识计划的一部分,大多数开发人员将需要战略支持来提高技能。这是为了确保他们具备实施和维护新标准所要求的更高安全级别所需的经验。
实际上,PCI DSS 4.0的要求12.6.2指导组织实施正式的安全计划,并使用最新的威胁信息和防御技术对其进行更新。使用较旧的标准,基本安全计划甚至 “复选框” 式的年度合规培训都达到了目标。这项新标准的要求远不止于此,甚至要求安全培训计划应对公司环境中的特定威胁和漏洞。例如,如果身份被盗对组织来说是一个大问题,那么培训就需要解决这个问题。
很明显,无论从实际角度还是从遵守新标准的角度来看,最低限度的培训都不再足够。相反,组织需要为开发人员提供全面、敏捷的学习途径,教会他们如何将安全最佳实践应用到实际的日常工作中。通过超越最低限度的合规性工作,为开发人员提供真正了解安全性所需的资源,组织可以帮助其开发人员做出更好的总体安全决策,同时遵守 PCI DSS 4.0。
好消息是,PCI DSS 4.0中的许多新要求都针对大多数开发人员已经熟悉的领域,例如身份验证、加密、访问控制、密钥管理等。当为开发人员提供合适的、相关的和熟悉的资源来提高他们的技能时,组织可以更轻松地为他们做好准备,以应对 PCI DSS 4.0 要求的新标准和更大的责任。
使用 PCI DSS 4.0 作为跑道来提高整体安全性
虽然通过良好的安全教育满足开发者的需求将是成功遵守新的 PCI DSS 4.0 标准的关键,但推动组织走向更好的网络安全的努力并不一定就此结束。是的,这些要求很严格,但是由于大多数组织都需要努力遵守这些要求,因此没有理由不利用这种努力作为启动更好的总体安全意识和培训的跳板。这不仅可以帮助组织满足合规要求,还可以开始培养一种积极的安全文化,这种文化将最佳实践列为优先事项,并确保组织中的每个人都朝着相同的 “安全第一” 目标努力。
当然,有一段学习曲线,但开发人员很可能会付出这样的努力。在埃文斯的数据中 调查 在全球活跃的1,200多名专业开发人员中,绝大多数表示支持创建安全代码并在组织中建立更好的安全文化的概念。显然,大多数开发人员欢迎在开发过程中从战略角度转向安全编码,并重新确定安全优先级。
PCI DSS 4.0规定的安全升级为公司投资改进安全最佳实践和培训,并在组织内接受更好的整体安全文化提供了一个完美的借口。
如果开发人员公司投资一项计划,使他们能够将安全编码技能与相关工具和培训相结合,则开发人员可以更轻松地实现更高的安全成熟度。这反过来有助于营造一种安全文化,在这种文化中,开发人员可以进一步做出更好的决策,从而改善组织的整体安全状况,甚至远远超过严格的新PCI DSS 4.0标准。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
这篇文章的一个版本最初出现在 DZone。它已在此处更新和发布。
支付卡行业数据安全标准 (PCI DSS) 4.0 版将 几乎改变一切 关于接受电子支付(占绝大多数)的任何企业或组织的安全。毫无疑问,此次更新对大多数企业来说将是变革性的,要求他们升级许多安全流程,并有可能在加密、身份验证、访问控制、密钥管理和其他领域推出新的保护措施,而这些领域以前可能进展缓慢。
由于新要求的复杂性,各组织只能在2025年3月之前完全合规。但是这个截止日期将比大多数人意识到的要早到来。实际上,许多具有前瞻性的公司目前正在采取措施,使他们的开发人员能够驾驭悬而未决的合规格局。
超越开箱即用的训练
组织的开发人员编写其大部分基础架构所依赖的代码,因此,在实施新的 PCI DSS 4.0 要求时,他们是一个不错的起点。但是,作为更新的安全意识计划的一部分,大多数开发人员将需要战略支持来提高技能。这是为了确保他们具备实施和维护新标准所要求的更高安全级别所需的经验。
实际上,PCI DSS 4.0的要求12.6.2指导组织实施正式的安全计划,并使用最新的威胁信息和防御技术对其进行更新。使用较旧的标准,基本安全计划甚至 “复选框” 式的年度合规培训都达到了目标。这项新标准的要求远不止于此,甚至要求安全培训计划应对公司环境中的特定威胁和漏洞。例如,如果身份被盗对组织来说是一个大问题,那么培训就需要解决这个问题。
很明显,无论从实际角度还是从遵守新标准的角度来看,最低限度的培训都不再足够。相反,组织需要为开发人员提供全面、敏捷的学习途径,教会他们如何将安全最佳实践应用到实际的日常工作中。通过超越最低限度的合规性工作,为开发人员提供真正了解安全性所需的资源,组织可以帮助其开发人员做出更好的总体安全决策,同时遵守 PCI DSS 4.0。
好消息是,PCI DSS 4.0中的许多新要求都针对大多数开发人员已经熟悉的领域,例如身份验证、加密、访问控制、密钥管理等。当为开发人员提供合适的、相关的和熟悉的资源来提高他们的技能时,组织可以更轻松地为他们做好准备,以应对 PCI DSS 4.0 要求的新标准和更大的责任。
使用 PCI DSS 4.0 作为跑道来提高整体安全性
虽然通过良好的安全教育满足开发者的需求将是成功遵守新的 PCI DSS 4.0 标准的关键,但推动组织走向更好的网络安全的努力并不一定就此结束。是的,这些要求很严格,但是由于大多数组织都需要努力遵守这些要求,因此没有理由不利用这种努力作为启动更好的总体安全意识和培训的跳板。这不仅可以帮助组织满足合规要求,还可以开始培养一种积极的安全文化,这种文化将最佳实践列为优先事项,并确保组织中的每个人都朝着相同的 “安全第一” 目标努力。
当然,有一段学习曲线,但开发人员很可能会付出这样的努力。在埃文斯的数据中 调查 在全球活跃的1,200多名专业开发人员中,绝大多数表示支持创建安全代码并在组织中建立更好的安全文化的概念。显然,大多数开发人员欢迎在开发过程中从战略角度转向安全编码,并重新确定安全优先级。
PCI DSS 4.0规定的安全升级为公司投资改进安全最佳实践和培训,并在组织内接受更好的整体安全文化提供了一个完美的借口。
如果开发人员公司投资一项计划,使他们能够将安全编码技能与相关工具和培训相结合,则开发人员可以更轻松地实现更高的安全成熟度。这反过来有助于营造一种安全文化,在这种文化中,开发人员可以进一步做出更好的决策,从而改善组织的整体安全状况,甚至远远超过严格的新PCI DSS 4.0标准。
目录
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
