Lähtölaskenta alkaa: PCI-DSS v4.0:n käyttöönotto vuoteen 2024 mennessä

Tulevat muutokset Payment Card Industry Data Security Standardiin (PCI-DSS) asettavat tiukemmat turvallisuusvaatimukset kaikille kortinhaltijatietoja käsitteleville yrityksille.

PCI DSS noudattamista vaaditaan kaikilta kauppiailta, jotka hyväksyvät luottokorttimaksut. Kaikkien kauppiaiden on täytettävä vähimmäissuojaustasot, kun he tallentavat, käsittelevät ja siirtävät kortinhaltijatietoja. Organisaatioille, jotka käsittelevät suurempia määriä tapahtumia, koskevat tiukemmat vaatimukset, mukaan lukien vaatimus ulkoisista tietoturvatarkastuksista.

Payment Card Industry Security Standards Council (PCI SSC) hallinnoi standardia, ja suurimmat luottokorttimerkit, kuten Visa ja Mastercard, määräävät sen käytön.

A Standardin merkittävä uudistus, PCI-DSS v4, pyrkii vastaamaan uusiin uhkiin ja maksualan kehittyviin tietoturvatarpeisiin. Standardi tarjoaa perustan teknisille ja toiminnallisille vaatimuksille, jotka on suunniteltu yhdessä suojaamaan tilitietoja.

PCI-DSS v4 on tulossa

PCI DSS v4.0 koostuu 12 vaatimuksesta, jotka on järjestetty kuuteen luokkaan, mukaan lukien:

• Lisääntynyt huomio turvallisuuteen jatkuvana prosessina
• Enemmän joustavuutta siinä, miten organisaatiot voivat saavuttaa turvallisuustavoitteensa
• Uudet vaatimukset palveluntarjoajille, mukaan lukien monitekijätodennuksen käyttö ja nollaluottamusarkkitehtuurin käyttöönotto
• Tarkistetut vaatimukset ohjelmistokehitystä varten, mukaan lukien suojatut koodauskäytännöt ja automaattisten työkalujen käyttö haavoittuvuuksien skannaukseen ja läpäisytestaukseen
• Tiukemmat säännöt salasanojen hallinnassa, mukaan lukien salalauseiden käyttö ja tietyntyyppisten salasanojen kielto
• Kannustetaan järjestelmällisempään ja tehokkaampaan salaukseen, mukaan lukien kvanttiturvallisen salauksen käyttöönoton tukeminen

PCI DSS 12:n 4.0 ohjainta ovat pääasiassa samanlaisia ​​kuin versio 3.2.1. PCI DSS v3.2.1:tä poistetaan, koska se ei ole pysynyt alan muutosten ja kyberrikollisten taktiikkojen tahdissa.

Vaikka viitekehyksen aiemmat versiot olivat ohjeellisia (asenna palomuurit, käytä virustorjuntaohjauksia jne.), PCI DSS 4.0 on suunnattu tukemaan organisaatioiden kattavampia pyrkimyksiä parantaa tietoturvansa kypsyyttä.

Vaikka jotkin muutoksista ovat evolutiivisia – kuten virustorjuntaohjelmiston vaatimuksen muuttaminen haittaohjelmien torjuntaratkaisuksi tai verkkovaatimusten muuttaminen pilvi- ja fyysisen verkkoarkkitehtuurien välisen eron mukaan – toiset ovat olennaisempia. Organisaatioiden on esimerkiksi otettava käyttöön monitekijäinen todennus päästäkseen kortinhaltijan tietoympäristöön.

Kasvavan uhan tunnustaminen toimitusketjun hyökkäykset, sähköisen kaupankäynnin kauppiaita pyydetään myös ylläpitämään ohjelmistoluetteloa, joka sisältää kirjastot ja komponentit. Lisäksi viitekehys vaatii suojauksen verkkokaupan skimming-hyökkäyksiä vastaan ​​hallitsemalla ja havaitsemalla aktiivisesti maksusivun JavaScriptin muutoksia.

PCI-DSS v4 painottaa myös työntekijöiden kouluttamista tietoturvariskeistä ja parhaista käytännöistä.

Luke Dash, ISMS.onlinen toimitusjohtaja, kommentoi: "PCI-yhteensopivuus ei ole vain valintaruutu; se on sitoutumista asiakkaisiisi – lupaus turvallisuudesta, avoimuudesta ja kestävistä liikesuhteista."

Joseph Carson, Delinan turvallisuustutkija ja neuvonantaja CISO, lisäsi: "PCI-DSS v4 on nostanut rimaa ja maksukorttiteollisuuden kyberturvallisuusstandardit, joka ei ole enää vain valintaruutu, vaan jatkuva kyberturvallisuusohjelma.

Carson jatkoi: "Tiukat tarkastukset, jotka liittyvät pääsyn turvallisuuteen, mukaan lukien monitekijätodennus, etuoikeutettu pääsyn suojaus, salasanasuojaus ja parannetut tietojenkalastelustandardit, tarkoittavat, että tuleva PCI-tarkastus on suurempi kuin mikään aikaisempi tarkastus. Vaatimuksen täyttymisen varmistaminen vaatii todennäköisesti paljon enemmän valmistelua ja resursseja."

PCI-DSS v4 -yhteensopivuuden määräaika

Järjestöillä on 31 asti siirtyminen PCI DSS v3.2.1:stä v4.0:aan – 18 kuukauden määräajalla täydellisen vaatimustenmukaisuuden saavuttamiseksi maaliskuuhun 2025 mennessä.

As aikaisemmin raportoitu, standardin uusi versio korostaa entistä enemmän sähköisen kaupankäynnin maksusovellusten suojaamista, Magecart-tyylisiä hyökkäyksiä vastaan ​​suojaamista ja suojattujen koodauskäytäntöjen käyttöönottoa.

Uudistetun viitekehyksen painopiste on transaktioiden turvaamisessa ja luottamuksen rakentamisessa.

Tietoturvatyökalujen toimittajan Jscramblerin turvallisuusneuvonantaja John Elliott sanoi: "Suurin haaste on huhtikuussa 51 voimaan tulevien 2025 uuden vaatimuksen toteuttaminen. Jotkut niistä saattavat edellyttää muutosta liiketoimintaprosesseihin ja uuden teknologian tai uuden teknologian hankkimista tai hankintaa. ratkaisuja.

"Jotkut – kuten MFA [monitekijätodennus] kaikille käyttöoikeuksille – olet saattanut jo ottaa käyttöön osana BAU [business as usual] -tietoturvapäivityksiä, mutta toiset, kuten erityisvaatimukset sähköisen kaupankäynnin salaavien hyökkäysten lopettamiseksi, vaativat aikaa ja tekniikkaa tyydyttäväksi”, Elliott lisäsi.

Richard Orange, Exabeamin EMEA-alueen johtaja, lisäsi: ”Päivitetty standardi korostaa tehokasta verkon segmentointia. Se kannustaa yrityksiä ottamaan käyttöön eristystoimenpiteitä arkaluonteisten tietojen vaarantumisen estämiseksi ja noudattamaan nollaluottamusta verkkoturvallisuuteen. Yritysten on noudatettava suojatun koodauksen ohjeita, suoritettava säännöllisesti kooditarkistuksia ja haavoittuvuustarkistuksia sekä varmistettava sovellusmääritykset.

PCI-yhteensopivuusprojektien hallinta

Ennakoiva PCI-DSS v4 -valmistelu antaa yrityksille runsaasti aikaa ratkaista mahdolliset ongelmat – välttäen viime hetken kalliita hätäkorjauksia.

ISMS.online's Dash kommentoi: "Varhainen PCI-DSS v4 -valmistelu mahdollistaa porrastetun toteutuksen, hajauttaa kustannuksia ja vähentää toimintahäiriöitä."

Exabeam's Orange kommentoi: ”Pienyritysten voi olla haastavaa noudattaa PCI-DSS v4:n tiukempia vaatimuksia. Lisääntynyt keskittyminen salaukseen, verkkosegmentointiin ja monivaiheiseen autentikointiin (MFA) saattaa edellyttää lisäinvestointeja resursseihin ja teknologiaan, mikä voi rasittaa budjetteja erityisesti yrityksissä, jotka ovat joutuneet kiristämään vyöään pandemian jälkeen.

"Päinvastoin isommilla yrityksillä, joilla on vahvat turvatoimet, voi olla helpompi sopeutua uusiin muutoksiin", hän lisäsi.

Näistä haasteista huolimatta "PCI-DSS v4:n noudattaminen voi parantaa yleistä tietoturva-asentoa ja vähentää tietomurtojen riskiä, ​​mikä johtaa taloudellisiin menetyksiin, mainevaurioihin ja oikeudellisiin vastuisiin", Exabeam's Orange totesi.

Standardin käyttöönotto voi myös parantaa asiakkaiden luottamusta, mikä osoittaa sitoutumista arkaluonteisten kortinhaltijatietojen suojaamiseen.

Donnie MacColl, vanhempi johtaja, tekninen tuki ja DPO, Fortra, kyberturvallisuustoimittaja, selitti, että PCI DSS v4:n mukana tulevat muutokset eivät vaikuta kaikkiin yrityksiin samalla tavalla.

"Yksittäiset organisaatiot vaativat neljää erillistä vaatimustenmukaisuustasoa, jotka perustuvat tapahtumamääriin 12 kuukauden ajalta", MacColl kertoi ISMS.online-sivustolle.

Esimerkiksi alemman vaatimustenmukaisuustason organisaatiot (tasot 2–4) eivät tarvitse ulkoista auditointia, mutta voivat sen sijaan täyttää itsearviointikyselyn. Sitä vastoin, jos yritys käsittelee yli kuusi miljoonaa korttitapahtumaa vuodessa, sen on osoitettava tason 1 vaatimustenmukaisuus, prosessi, johon kuuluu pätevän turvallisuusarvioijan suorittama ulkoinen tarkastus.

MacColl totesi: "Organisaation koosta riippumatta tehokas siirtyminen PCI DSS 4.0:aan edellyttää lähestymistapaa, joka ottaa huomioon tekniset ja kulttuuriset muutokset. Tämä ei ole yksi ja tehty yritys. Se vaatii vaiheittaista lähestymistapaa ajan myötä."