021-54410609
今年早些时候,PCI 安全标准委员会公布了其支付卡行业数据安全标准 (PCI-DSS) 的 4.0 版。虽然组织在 2025 年 3 月之前不需要完全符合4.0,但这次更新是他们迄今为止最具变革性的,将要求大多数企业评估(并可能升级)复杂的安全流程和技术堆栈的元素。这是对开发人员实施基于角色的安全意识培训和定期安全编码教育的补充。
对于银行、金融服务和保险 (BFSI) 领域的公司而言,这代表着一个千载难逢的机会,可以认真升级其安全计划,开创以人为本的网络安全弹性新时代。
准备好 PCI-DSS 4.0 的最大挑战是什么?
正如一个组织的安全计划包罗万象,其复杂性是其业务需求和可用资源所特有的,新的 PCI-DSS 标准涵盖了很多领域。然而,它们揭示了满足安全要求的方法向灵活性的明显转变,在一个工具、威胁、策略和合规措施可以瞬间改变的行业中,这是很重要的。
PCI-DSS 4.0 包含这样一个概念,即有许多方法可以实现气密安全最佳实践的相同目标。这是事实,但它似乎最适合具有高级安全成熟度的组织,并且有很大的错误空间,尤其是对于那些在评估其真正的内部安全成熟度时不切实际的组织。最终,公司必须做好准备,将安全作为一个持续的、不断发展的过程,而不是一次性的“一劳永逸”的过程。必须有强大的安全文化,并在整个组织范围内致力于提高安全意识。
那些在代码级工具上工作的人——开发团队——必须能够在任何处理数字资产和交易的业务环境中交付合规、安全的软件。
您的开发人员准备好交付合规软件了吗?
开发人员是达到卓越软件安全状态不可或缺的一部分,这与不仅仅是象征性的 PCI-DSS 合规性相关。至关重要的是,开发人员要了解 PCI-DSS 4.0 的更广泛情况,即他们可以控制和集成哪些内容作为他们默认的软件构建方法的一部分。
三个关键领域代表了与开发团队最相关的变化,它们可以细分如下:
身份认证:可行的访问控制计划一直是 PCI 合规性的关键部分;然而,4.0 版以一种需要在内部和外部仔细实施的方式将其提升了一个档次。多因素身份验证 (MFA) 将成为标准以及有关密码复杂性和超时的加强规则。
由于身份验证和访问控制安全问题现在是普通开发人员可能面临的最常见问题,因此必须推出精确培训以帮助他们识别和修复实际代码中的这些问题。
加密和密钥管理:在我们运营的世界中,我们可以通过多个访问点访问一些最敏感的信息,例如通过我们的网上银行应用程序。由于这种高价值数据处于危险之中,加密和强大的密码学实践是必须的。开发人员必须确保他们掌握有关信息传输位置、用户如何访问信息的最新知识,即使信息落入坏人之手,也要确保威胁参与者无法读取信息。
恶意软件:在以前的 PCI-DSS 指南中,围绕软件保护免受恶意代码侵害的安全控制被称为“防病毒软件”,但这过于简化了本应是一种多层防护方法,而不仅仅是防护病毒。必须在必要时应用反恶意软件解决方案,并且必须进行连续日志记录和监控。
开发人员拥有涵盖识别易受攻击组件的学习途径也很重要,尤其是在大多数代码库至少部分依赖第三方代码的情况下。
什么构成对开发人员的“足够”培训?
与之前的建议类似,PCI-DSS 4.0 建议开发人员“至少”每年接受一次培训。然而,如果这意味着每年一次足以作为安全软件创建的接触点,那么它还远远不够,而且不太可能产生更安全、合规的软件。
开发人员教育应从 OWASP Top 10 中的基础教育以及与语言相关和业务关键的任何其他漏洞开始。这应该是正在进行的计划的一部分,目的是继续建立这些技能并将安全性不仅从一开始就嵌入到软件开发中,而且还嵌入到他们的思维方式和角色方法中。此外,开发团队及其经理必须非常清楚角色和责任。安全应该是一项共同的责任,但记录期望并确保它们能够得到适当满足才是公平的。
有了准备 PCI-DSS 4.0 合规性的准备时间,就有可能在组织范围内的安全文化改进方面取得一些重大进展。这是培养您曾经拥有的最具安全意识的开发团队的沃土。更多信息欢迎阅读《支付卡行业数据安全标准 (PCI DSS) v4.0 合规性》,或者联系揽阁信息了解更多产品和解决方案信息。
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话