将乏味的 PCI-DSS 合规性变成对每个人都有意义的练习：第 2 部分-首席信息安全官和开发人员意识

这是关于组织内PCI-DSS合规性的迷你系列的第二部分。在最后一章中，我们将详细介绍首席技术官和首席信息安全官如何从高层领导降低网络风险，使流程顺畅、成功... 也许还能为开发人员带来一点乐趣。（你错过了第一部分吗？ 在这里查看 并了解 AppSec 专家如何抓住这个机会以获得更好的安全结果）。

PCI-DSS最佳实践无疑是一项共同责任，但首席信息安全官和首席技术官可以利用他们的巨大影响力，从高层起草一项蓬勃发展、积极的安全计划。他们是网络安全信任和最终用户相关情绪的代言人，尽早关注意识会产生强大的渗透效应，帮助开发人员和AppSec专业人员获得所需的知识、工具和支持，为公司内部的强大安全态势做出贡献。

保持合规很重要，但是当每个人都明白 “为什么”，看到结果并以正确的方式进行培育时，一项计划可以超越立法，成为第二本质。

首席技术官和首席信息安全官在建立相互信任方面可以发挥作用

你最近是否访问过某个网站，在交出信用卡详细信息时三思而后行？除非是外观粗略的网络应用程序为当地披萨店的在线订购提供支持，否则这可能不是你经常遇到的事情，尤其是对于在线零售领域的大公司和家喻户晓的公司来说。

当然，除非他们披露了数据泄露事件。

全球住宿巨头万豪刚刚透露了他们的 三年内发生的第二次违规行为，这导致520万条客户记录被盗。这次，支付信息似乎还不是抢劫的一部分，尽管他们在2018年的灾难性漏洞解决了这个问题； 3.83 亿客户遭到入侵，有500万个未加密的护照号码被盗，800万个信用卡号被盗。

如果客户对万豪品牌的信任度还没有达到应有的水平，我想说它很快就会跌至谷底。这种东西让首席信息安全官们彻夜难眠，因为他们感觉就像在对抗网络威胁的战争中坐视不管。看看Equifax、雅虎、索尼、塔吉特——这些只是经历过大规模泄露的几个知名企业，它们代表着数十亿条数据记录被盗，数千亿美元的损失，以及在经济心中打入的客户形成的漏洞。这对企业来说是一场灾难（塔吉特报告说 利润暴跌4.4亿美元 在2014年泄露后的季度中），尽管个人通常不承担责任——毕竟，软件安全应该是一项共同的责任，但如果你当时碰巧在这些组织工作，那并不是你希望在原本光鲜的简历上看到的。

放弃一项强有力的安全计划，以实现处理支付、敏感数据和无形金币（即积极的客户情绪）的合规性，这表明一家公司不仅面临风险，而且在创新方面严重落后。

每个人都应该关心客户/组织关系中的信任问题。

除了信息泄露后IT、开发和安全部门面临的压力和灾难外，信任因素是新公司长期成功或老牌公司持续增长的重要因素。如果公司因失去信心而面临经济衰退，那么你将失去的显而易见的是你的工作。

PCI-DSS法规要求企业承担责任——如上所述，忽视这些精心制定的计划会产生巨大的影响——但它们的有效性取决于已制定的安全计划以及在其中工作的员工。如果你认真对待他们，保持警惕，为他人树立榜样，那么你就是在以一种非常积极的方式让自己与众不同。

意识就是一切。

失败的安全意识计划将使大多数保持PCI合规的尝试几乎毫无用处。全组织的安全意识构成了最佳实践指南中最关键的部分；他们甚至 提供自己的培训模块 关于如何在跨职能角色中实现这一点，以及在做对的企业中会是什么样子。

随着我们朝着将DevSecOps作为当前安全软件开发的黄金标准（其中安全作为一项共同责任至关重要），企业必须花费时间、金钱和精力来确保包括供应商和承包商在内的每个人都具有安全意识并遵循最佳实践。

具有安全意识的开发人员是合规的开发人员（到达那里不一定很无聊）

要成为 “认证” 合规的PCI-DSS开发人员，没有太多显而易见的选择。为什么？可能是因为它不可能是 “一次完成” 的练习。

这个 OWASP 在学习如何阻止常见漏洞方面，组织是全球最好的组织之一，他们的前十名已正式列在面向开发者的PCI-DSS指南中。但是，将安全放在首位并磨练技能需要时间和持续的精力。没有人希望这平淡无奇，浪费精力。

积极的安全文化在组织中不是 “好事”；如果他们认真对待安全问题，那么它就必须成为公司日常运作的一部分。

在阻止漏洞方面，开发人员处于战斗的第一线。他们是否获得了支持、工具和培训，以维护他们在PCI-DSS合规性方面的安全协议？

事实是，正确的培训更加顺畅；它不应该像一场讲座，它应该与每天的工作高度相关。而这种动手培训是一种提高技能的机会——这种职业转变只会对认真对待阻止漏洞并与团队其他成员合作制定更高标准代码的开发人员产生积极影响。

想立即测试您的安全编码技能吗？ 选择你的任务。