Die FinServ-Konformität hängt von der Softwaresicherheit ab
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
Vorschriften für die Finanzdienstleistungsbranche wie PCI DSS unterstreichen die Bedeutung von Sicherheitscode und die Notwendigkeit, Entwickler in bewährten Sicherheitsverfahren zu schulen.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
Finanzdienstleistungsinstitute haben triftige Gründe dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund dafür ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die kostspielig sein kann, was durchgesickerte personenbezogene Daten, Reinigungskosten, Bußgelder und Wiedergutmachung sowie den Ruf eines Unternehmens schädigen kann. Ein weiterer Dauergrund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen Unternehmen eine Mischung aus Regeln und Anforderungen einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Regeln zum Schutz von Karteninhaberdaten bekannt. Anforderungen in der Sarbanes-Oxely-Gesetz regeln die Verwaltung von Finanzunterlagen. Unternehmen, die international tätig sind, kennen sich aus mit Gesetz über digitale betriebliche Resilienz (DORA), ein verbindlicher Rahmen für das Risikomanagement, und die globalen Standards für Geldtransfers, die von der Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift.
Und Gesetze wie die Kalifornisches Verbraucherschutzgesetz (CCPA) und die der EU Allgemeine Datenschutzverordnung (GDPR) legt Anforderungen zum Schutz der Privatsphäre und der personenbezogenen Daten von Kunden fest. Es gibt noch andere, beispielsweise Vorschriften, die vom U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB) festgelegt wurden.
Wenn das nicht genug ist, Nationale Cybersicherheitsstrategie besagt unter anderem, dass Softwarehersteller für ineffektive Softwaresicherheit verantwortlich gemacht werden sollten. Und die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern Leitlinien herausgegeben zu Sicher durch Design Prinzipien für die Softwareentwicklung.
Ein roter Faden für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass der Code zu Beginn des Entwicklungsprozesses mit Sicherheit versehen wird.
Schauen wir uns als Beispiel dafür, wie das funktioniert, die neueste Version von PCI DSS an.
Sicheres Programmieren (und Entwicklertraining) ist das Herzstück von PCI DSS 4.0
PCI DSS 4.0, das am 1. April 2024 verpflichtend wurde, beinhaltet mehrere umfangreiche Aktualisierungen von PCI DSS 3.2.1 — nicht zuletzt ein Schwerpunkt auf der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat in der Vergangenheit schon lange die Bedeutung sicherer Software erkannt. Version 2.0, die 2017 veröffentlicht wurde, beinhaltete Anleitung für Entwickler zur Gewährleistung sicherer Transaktionen auf Mobilgeräten. Die Leitlinien in Version 4.0 legen nun den Schwerpunkt auf die Anwendung bewährter Sicherheitsmethoden bei der Softwareentwicklung und enthalten einige spezifische Hinweise zur Schulung von Entwicklern.
Die Anforderungen sind oft allgemein formuliert, obwohl Unternehmen möglicherweise einen gründlicheren Ansatz verfolgen möchten.
Eine Anforderung aus Version 4.0 besagt beispielsweise, dass die „Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden“. Eine gute Möglichkeit, dies sicherzustellen, besteht darin, dass Entwickler präzise in den von ihnen verwendeten Programmiersprachen und Frameworks geschult werden, um Wissenslücken zu schließen.
Eine weitere Anforderung besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate eine Schulung erhalten müssen, die Folgendes umfasst:
- Softwaresicherheit, die für ihre Berufsfunktion und ihre Entwicklungssprachen relevant ist.
- Sichere Softwaredesign- und Codierungstechniken.
- So verwenden Sie Sicherheitstesttools — falls sie verwendet werden —, um Sicherheitslücken in Software zu erkennen.
In der Realität reicht es jedoch nicht aus, einmal im Jahr wichtige Sicherheitsprobleme zu lösen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich und angemessen sein und mit einem Prozess zur Überprüfung der Fähigkeiten einhergehen, um sicherzustellen, dass sie sinnvoll eingesetzt werden.
PCI DSS 4.0 umfasst mehr als ein halbes Dutzend weiterer Anforderungen, die Bereiche wie die Verhinderung und Abwehr verschiedener Arten von Angriffen, die Dokumentation von Softwarekomponenten von Drittanbietern, die Identifizierung und Verwaltung von Sicherheitslücken und andere Sicherheitsmaßnahmen betreffen. In jedem Fall wären Unternehmen gut beraten, diese Maßnahmen gründlich zu verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht jährlich stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Sicherheitslücken sind, sollten mithilfe eines Software Bill of Materials (SBOM) -Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für das Management von Sicherheitslücken haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung ihrer Anforderungen, da sie sich auf Ergebnisse statt auf das Ankreuzen von Kästchen konzentrieren und gleichzeitig neue Anforderungen an Authentifizierungskontrollen, Passwortlängen, gemeinsame Konten und andere Faktoren hinzufügen.
Compliance beginnt zu Beginn des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Und wie im Fall der neuesten PCI-DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die Nationale Cybersicherheitsstrategie und die Secure by Design-Prinzipien von CISA übertragen den Herstellern der Software auch die Verantwortung für die Sicherheit — noch bevor sie ausgeliefert wird —, sodass auch Unternehmen, die nicht direkt den Vorschriften für Finanzdienstleistungen unterliegen, die Vorschriften einhalten müssen.
Unternehmen müssen die Lücke zwischen DevOps-Teams (die sich auf die Geschwindigkeit der Entwicklung konzentrieren) und AppSec-Teams (die sich beeilen, Sicherheit in den Prozess einzubeziehen) schließen, indem sie Entwickler darin schulen, Sicherheit in ihren Ansatz zu integrieren. Dies erfordert jedoch ein komplexes Set an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder stagnierende Standardschulungsprogramme bieten können. Die Schulungen sollten kontinuierlich und flexibel sein, so konzipiert sein, dass die Lernenden mit aktiven, realen Szenarien vertraut gemacht werden, und in kleinen, zu ihren Arbeitszeiten passenden Intervallen angeboten werden.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sowohl vor Sicherheitsverstößen zu schützen als auch die immer strengeren Vorschriften einzuhalten. Die Kosten einer Nichteinhaltung können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die finanziellen Kosten genauso schädlich sein wie ein Verstoß. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023stellte beispielsweise fest, dass Unternehmen mit einem hohen Maß an Verstößen gegen die Vorschriften im Durchschnitt mit Bußgeldern und anderen Kosten in Höhe von insgesamt 5,05 Millionen $ — einer halben Million Dollar — konfrontiert waren mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Aufgrund des kontinuierlichen Wachstums cloudbasierter Umgebungen und digitaler Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was Vorschriften wie PCI DSS anerkennen. Der beste Weg, sichere Software zu gewährleisten, ist die sichere Codierung zu Beginn des SDLC. Und der Weg dorthin besteht darin, Entwickler effektiv in sicheren Programmierpraktiken zu schulen.
Einen umfassenden Überblick darüber, wie sichere Codierung dazu beitragen kann, Erfolg, Sicherheit und Gewinne für Finanzdienstleistungsunternehmen zu gewährleisten, finden Sie im neu veröffentlichten E-Book Secure Code Warrior: Der ultimative Leitfaden zu Sicherheitstrends bei Finanzdienstleistungen.
Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.
Table des matières
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
