PCI-DSS 4.0 estará aquí antes de lo que cree y es una oportunidad para aumentar la ciberresiliencia de su organización
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Director General, Presidente y Cofundador
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
Tabla de contenido
Director General, Presidente y Cofundador
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
