PCI-DSS 4.0 wird früher da sein, als Sie denken, und es ist eine Gelegenheit, die Cyber-Resilienz Ihres Unternehmens zu erhöhen
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
Sind Ihre Entwickler bereit, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
Sind Ihre Entwickler bereit, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
Sind Ihre Entwickler bereit, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.
PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.
Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.
Sind Ihre Entwickler bereit, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.
Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:
- Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
- Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.
Was ist eine „ausreichende“ Schulung für Entwickler?
Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.
Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.
Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
