PCI DSS v4.0: vuosi myöhemmin ja kaksi vuotta vaatimustenmukaisuuteen
Vuosi PCI DSS v4.0:n käyttöönotosta ja kaksi vuotta lähempänä vaatimustenmukaisuuden määräaikaa, miten tämä uusi versio on otettu käyttöön ja mitä se tarkoittaa turvallisuuden ja vaatimustenmukaisuuden kohtaamisen kannalta? Dan Raywood tutkii uusia vaatimuksia.
Maaliskuun 2022 lopussa otettiin käyttöön maksukorttiteollisuuden tietoturvastandardin (PCI DSS) uusi versio, joka yritti pysyä ajan tasalla nykyaikaisten kyberhyökkäystekniikoiden kanssa ja estää lopulta niiden onnistumisen.
Korvaa version 3.2.1, versio 4.0 julkaistiin 31. maaliskuuta 2022, ja määräaika vaatimusten noudattamiselle on 31. maaliskuuta 2025. Samaan aikaan versio 3.2.1 poistuu käytöstä 31. maaliskuuta 2024, joten yritys voidaan vielä tarkastaa kyseiseen versioon siihen asti Päivämäärä.
PCI Security Standards Council (SSC) kuvailee sen olevan "vastaavampi maksujen dynaamiseen luonteeseen ja uhkaympäristöön", ja sen tarkoituksena oli "vahvistaa turvallisuuden ydinperiaatteita ja tarjota enemmän joustavuutta erilaisten teknisten toteutusten mahdollistamiseksi paremmin".
Lopulta neljä päätavoitetta olivat: vastata edelleen maksualan turvallisuustarpeisiin, edistää turvallisuutta jatkuvana prosessina, lisätä joustavuutta eri menetelmille ja tehostaa validointimenetelmiä.
Itse asiassa turvallisuus oli sen kehittämisen kannalta kriittistä, sillä uusien vaatimusten joukossa olivat laajennetut monitekijätodennusvaatimukset, päivitetyt salasanavaatimukset ja uudet tietojenkalastelukoulutusvaatimukset.
Kuinka hyvin uusi standardi on otettu vuoden kuluttua tämän uuden standardin julkaisusta? Eräässä podcastissa sitä kuvattiin merkittäväksi evoluutioksi, koska standardi oli ollut suhteellisen staattinen kymmenen vuoden ajan, ja viimeinen pieni muutos tehtiin viisi vuotta sitten. "Samaan aikaan tämän muutoksen kanssa maailma ja kyberturvallisuusmaailma muuttuivat, ja [etenkin] pilveen siirtymisen myötä."
Jason Wallis, One Compliance Cyberin pääkonsultti ja QSA, myönsi, että muutos 3.2.1:stä 4.0:aan oli merkittävä ja "olisi hieman työläs" joillekin yrityksille, erityisesti käytäntöjen, menettelyjen ja prosessien päivittämisessä. Todellisuudessa yrityksen ei kuitenkaan tarvitse tehdä liikaa.
"Uusia vaatimuksia on lisätty, koska PCI SSC on ottanut huomioon nykyiset uhat", hän sanoo. "Joka päivä havaitaan uusia hyökkäyksiä, joissa hakkerit tunkeutuvat yrityksiin, ja kun nämä uhat lisääntyvät ja uusia uhkia ilmaantuu, yritysten suojastandardien pitäisi kehittyä uusien uhkien mukana."
Eräs erityinen uhka on korttien salailu. Wallis viittaa British Airwaysin vuonna 2018 sattuneeseen tapaukseen, joka koski 380,000 XNUMX asiakasta, ja sanoo, että tämä on otettu huomioon uusissa vaatimuksissa. Tämä tarkoittaa nyt sitä, että yrityksen on tiedettävä tarkasti, mitkä komentosarjat näkyvät asiakkaidensa selaimissa, ja joissain tapauksissa sen on lisättävä muutosten havaitsemistekniikka, joka varoittaa maksusivun kokoonpanon muutoksista.
Wallis sanoo, että uusi vaatimus on seurannut palautetta uusista uhista, ja Wallis sanoo, että tämän tyyppinen Man in the Middle -hyökkäys on usein mahdollista heikkojen salasanatietojen tai kulunvalvonnan vuoksi, ja se "voi olla huomaamatta ja voi jatkua monta, monta kuukautta". sanoo.
"Kauppias ei joskus edes huomaa sitä itse, ja vasta ennen kuin vastaanottava pankki ilmoittaa heille, että "meillä on paljon asiakkaita, jotka sanovat, että heitä on rikottu tai he sanovat, että heiltä on varastettu korttitietoja". ” Hän sanoo, että aktiivisesti katsomalla, mitkä skriptit ovat käynnissä maksusivulla kerrallaan tai käyttämällä muutosten havaitsemisohjelmistoa, pitäisi vähentää riskiä, että joku joutuu alunperinkin.
"Ensinnäkin lisäät kulunvalvontavaatimuksia, jotta heidän on vaikeampi saada se, ja sitten, jos he pääsivät sisään, sinulla on ylimääräinen vaatimus, jonka ansiosta se havaitaan todennäköisemmin aikaisemmin."
Pilvi- ja hybridiympäristöjen käyttöönotossa yleisissä IT-käytännöissä, erityisesti AWS:n, Azuren ja Google Cloudin käyttöönoton yhteydessä, on huomioitava sekä niiden vaatimustenmukaisuus että omasi. Wallis sanoi, että näillä alustoilla on vaatimustenmukaisuustasoja, ja Google Cloud täyttää jotkin vaatimukset puolestasi, kun taas toiset vaatimukset jaetaan, ja joistakin muista vaatimuksista on vastuussa kauppias.
Simon Turner, BT:n ISSCA Consultancy Servicesin ja ISA:n vanhempi johtaja, sanoo pilvitekijän olevan yksi merkittävistä painopistealueista versiossa 4.0, koska "versio 3 oli kauhea pilveen kartoituksessa ja koska "QSA:t ovat riippuvaisia teknisestä asiantuntemuksesta, versio 4.0 on nyt ehdottomasti kartoitettu pilviteknologioihin."
Onko version 4.0 käyttöönotto ollut positiivinen asia? Turner sanoo hyödyn alalla; silloin se kannattaa ehdottomasti. "QSA:iden ja tietoturva-ammattilaisten kannalta se on askel oikeaan suuntaan: jotkut tietoturva-ammattilaiset saattavat sanoa, että se ei mene tarpeeksi pitkälle, mutta ihmisten on ymmärrettävä, että yrityksen on toimittava ja se on otettava maksuja vastaan. toimiakseen."
Niiden yritysten osalta, joiden tarvitsee vain täyttää itsearviointilomakkeet, vaatimustenmukaisuuden saavuttamiseen tarvittavat lisätuen vaatimukset todennäköisesti pienenevät. QSA:iden kysynnän odotetaan kuitenkin kasvavan niiltä ykköstason yrityksiltä, jotka käsittelevät miljoonia tapahtumia.
Turner sanoo, että jotkut yritykset noudattavat PCI DSS:ää, koska "se on sopimusasia, kun taas jotkut suuremmat tahot ovat 100-prosenttisesti sitoutuneet suojelemaan tuotemerkkiä". Siellä tarvitaan johdonmukaista noudattamista, ja sen varmistaminen, että sovit ISO 27001 -standardin vaatimuksiin, on tärkeä askel siihen suuntaan, jotta voit varmistaa, että teet asiat oikein.
Vaikka molemmat standardit keskittyvät teknisiin ja organisatorisiin ohjauksiin, PCI DSS kertoo yksiselitteisesti, mitä se odottaa näkevänsä. Sitä vastoin ISO 27001 antaa organisaatioille mahdollisuuden määrittää, miltä käsky näyttää riskinhalun kannalta merkitykselliseltä.
On selvää, että turvatoimenpiteet ovat erityisen tärkeitä tälle uudelle versiolle ja että SSC harkitsee tulevia hyökkäyksiä ja sitä, kuinka parhaiten puolustautua niitä vastaan. Onko tämä askel turvallisuuden parantamiseksi, mikä mahdollistaa vaatimusten noudattamisen? Se voi olla askel eteenpäin, koska näiden vaatimusten täyttäminen edellyttää tiettyjä suojaustasoja.
Ota käyttöön vaatimustenmukaisuusetusi jo tänään
Jos haluat aloittaa matkasi kohti PCI DSS -yhteensopivuutta, voimme auttaa.
