为 PCI-DSS 4.0 合规性做准备

评估您的基础设施和流程以支持 PCI-DSS 要求

PCI-DSS 4.0 新要求的关键更新和时间表

PCI-DSS 4.0引入了更新，以增强持卡人数据的安全性，解决支付卡行业当前的风险和技术进步。这些修订允许组织在证明符合安全目标的情况下采取定制的安全措施，将多因素身份验证扩展到持卡人数据环境中的所有访问权限，并加强所有网络的加密。此外，人们更加重视持续的风险分析和缓解，以及提高及时发现和应对安全事件的能力。这些新要求有一个过渡期，使组织有时间采用新版本，同时保持对现有标准的合规性。

为什么 CISO 应该优先考虑最新的 pci-dss 更新

遵守这些更新的标准不仅对保持合规性至关重要，而且对于防范新的和正在出现的网络威胁和风险也至关重要。通过实施这些标准，组织可以抵御违规行为，从而保护其声誉并避免可能因违规而被处以巨额罚款。

DSS 4.0 的生效日期：2024 年 3 月；于 2025 年 3 月生效。

PCI-DSS 4.0 强调了将持续安全流程集成到日常业务运营中的重要性

合规性不能只是一次性的评估。这种方法对于负责在组织内培养安全意识和主动风险管理文化的首席信息安全官至关重要。采用PCI-DSS 4.0还有助于建立强大的安全基础架构，为安全可靠的支付环境提供支持，从而推动商业价值。

您的开发人员准备好交付合规软件了吗？

开发人员是实现卓越软件安全状态不可或缺的一部分，但往往未得到充分利用。开发人员必须了解PCI DSS 4.0的总体情况，以及他们作为默认软件构建方法的一部分可以控制和集成的内容。

PCI DSS 的要求 6 概述了对开发和维护安全软件的期望

这包括各种各样的项目，从安全开发标准到开发人员培训，再到配置和变更控制管理。任何开发用于持卡人数据网络 (CHD) 的软件的组织都必须遵守这些规定。

如要求 6.2.2 所述，从事定制和定制软件工作的软件开发人员至少每 12 个月接受一次培训，具体如下：

• 关于与其工作职能和开发语言相关的软件安全。
• 包括安全软件设计和安全编码技术。
• 包括如何使用安全测试工具来检测软件中的漏洞。

该标准进一步概述了培训应至少包括以下项目：

• 正在使用的开发语言
• 安全的软件设计
• 安全编码技术
• 使用技术/方法来发现代码中的漏洞
• 防止重新引入先前已解决的漏洞的流程

此外，开发人员应熟悉所有攻击技术（在要求 6.2.4 中概述）。这包括旨在用作示例的攻击类别列表：

• 注入攻击，包括 SQL、LDAP、XPath 或其他命令、参数、对象、故障或注入类型的缺陷。
• 对数据和数据结构的攻击，包括试图操纵缓冲区、指针、输入数据或共享数据。
• 对密码学使用的攻击，包括试图利用薄弱、不安全或不恰当的加密实现、算法、密码套件或操作模式。
• 对业务逻辑的攻击，包括企图通过操纵 API、通信协议和信道、客户端功能或其他系统/应用程序功能和资源来滥用或绕过应用程序特性和功能。这包括跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF)。
• 对访问控制机制的攻击，包括试图绕过或滥用识别、认证或授权机制，或企图利用此类机制实施中的弱点。
• 通过漏洞识别过程中发现的任何 “高风险” 漏洞进行攻击，如要求 6.3.1 中所定义。

Secure Code Warrior 如何帮助您实现 PCI-DSS 4.0 合规性

最有效的培训选择是敏捷学习平台，在该平台上，合规性成为总体安全代码学习计划的副产品。具体而言，Secure Code Warrior可以通过以下方式帮助您的公司减少漏洞并提高开发人员的工作效率：

• 通过填补知识空白和提供开发人员使用的语言和框架的精确培训，对如何保障 PCI 数据安全有一个扎实、一致的理解。查看我们的 “更多信息” 学习平台。
• 提供持续、可衡量和成熟的技能验证流程，确保培训得到吸收和付诸实践。详细了解我们的现成品 安全代码训练路径 对于开发人员来说。
• 通过敏捷学习方法进行培训，提供及时的情境式微爆式学习。通用、不频繁的训练已不再可行，也不会对降低漏洞产生预期的影响。进一步了解我们的 支持的漏洞。
• 帮助记录安全培训和编码标准，这对于证明PCI-DSS审计期间的合规性很有用。有关PCI-DSS 4.0的更详细说明，请查看我们的白皮书， PCI DSS 4.0 解开。

‍