PCI DSS v4.0: Et år senere og to år til overholdelse
Et år siden introduktionen af PCI DSS v4.0 og to år tættere på deadline for overholdelse, hvordan er denne nye version blevet omfavnet, og hvad betyder den for mødet mellem sikkerhed og compliance? Dan Raywood ser nærmere på de nye krav.
I slutningen af marts 2022 blev der introduceret en ny version af Payment Card Industry Data Security Standard (PCI DSS), som gjorde nogle forsøg på at holde trit med moderne cyberangrebsteknikker og i sidste ende forhindre deres succes.
Ved at erstatte version 3.2.1, blev version 4.0 udgivet den 31. marts 2022, og deadline for overholdelse er den 31. marts 2025. I mellemtiden er version 3.2.1 udgået den 31. marts 2024, så en virksomhed kan stadig blive revideret til den version indtil det dato.
Beskrevet som værende "mere lydhør over for den dynamiske karakter af betalinger og trusselsmiljøet" af PCI Security Standards Council (SSC), var hensigten at "forstærke kernesikkerhedsprincipperne og samtidig give mere fleksibilitet for at muliggøre forskellige teknologiimplementeringer bedre."
I sidste ende var de fire hovedmål: at fortsætte med at opfylde betalingsindustriens sikkerhedsbehov, fremme sikkerhed som en kontinuerlig proces, tilføje fleksibilitet til forskellige metoder og forbedre valideringsmetoder.
Faktisk var sikkerheden afgørende for dens udvikling, da blandt de nye krav var udvidede multi-faktor autentificeringskrav, opdaterede adgangskodekrav og nye krav til phishing-træning.
Hvor godt modtaget har den nye standard været et år efter lanceringen af denne nye standard? En podcast beskrev det som en betydelig udvikling, da standarden havde været relativt statisk i ti år, hvor den sidste mindre ændring var for fem år siden. "Samtidigt med denne forandring ændrede verden og cybersikkerhedsverdenen sig, og [især] med flytningen til skyen."
Jason Wallis, hovedkonsulent og QSA hos One Compliance Cyber, indrømmede, at ændringen fra 3.2.1 til 4.0 var betydelig og "ville være lidt besværlig" for nogle virksomheder, især med hensyn til opdatering af politikker, procedurer og processer. Alligevel er der i virkeligheden ikke for meget, som en virksomhed skal gøre.
"Nye krav er blevet tilføjet, fordi PCI SSC har taget højde for aktuelle trusler, der er kommet," siger han. "Hver dag opdages nye angreb, hvor hackere kommer ind i virksomheder, og efterhånden som disse trusler øges, og nye trusler opstår, bør standarderne for at beskytte virksomhederne gå videre med de nye trusler."
En særlig trussel er kortskimming. Wallis henviser til hændelsen med British Airways fra 2018, som berørte 380,000 kunder, og siger, at dette er blevet behandlet i nye krav. Dette betyder nu, at virksomheden skal vide præcist, hvilke scripts der vises i deres kunders browsere, og i nogle tilfælde skal de tilføje ændringsdetektionsteknologi, der vil advare dem om eventuelle ændringer i enhver konfiguration på deres betalingsside.
Han siger, at det nye krav har fulgt feedback om nye trusler, siger Wallis, at denne type Man in the Middle-angreb ofte aktiveres af svag adgangskode eller adgangskontrol, og det "kan være uopdaget og kunne vare i mange, mange måneder", han siger.
"Sælgeren opdager det nogle gange slet ikke selv, og det er først, når den overtagende bank informerer dem, 'vi har masser af kunder, der siger, at de er blevet misligholdt eller siger, at de har fået stjålet kortoplysninger'. ” Han siger, at aktivt at se på, hvilke scripts der kører på en betalingsside på et hvilket som helst tidspunkt eller bruge noget software til ændringsdetektion, burde mindske risikoen for, at nogen kommer i første omgang.
"Først og fremmest øger du adgangskontrolkravene for at gøre det sværere for dem at få det, og hvis de så kom ind, har du et ekstra krav, der gør det mere sandsynligt, at det bliver opdaget tidligere."
Til introduktionen af cloud- og hybridmiljøer i almen it-praksis, især med introduktionen af AWS, Azure og Google Cloud, er der hensynet til deres compliance såvel som din egen. Wallis sagde, at der er niveauer af overholdelse inden for disse platforme, og Google Cloud vil opfylde nogle krav på dine vegne, mens andre krav deles, og for nogle andre er sælgeren ansvarlig for.
Simon Turner, senior manager for ISSCA Consultancy Services og ISA hos BT, siger, at cloud-faktoren er et af de væsentlige fokusområder i version 4.0, da "version 3 var forfærdelig at kortlægge til skyen, og da "QSA'er er afhængige af teknisk ekspertise, version 4.0 er bestemt kortlagt mod cloud-teknologier nu."
Har introduktionen af version 4.0 været en positiv ting? Turner siger med hensyn til fordele for industrien; så er det bestemt umagen værd. "Med hensyn til QSA'er og sikkerhedsprofessionelle, så er det et skridt i den rigtige retning: Nogle sikkerhedsprofessionelle siger måske, at det ikke går langt nok, men hvad folk skal forstå er, at virksomheden skal fungere og skal tage imod betalinger. for at fungere."
For de virksomheder, der kun skal udfylde selvevalueringsspørgeskemaer, vil kravene til ekstra assistance for at opnå overholdelse sandsynligvis blive reduceret. Der forventes dog en øget efterspørgsel efter QSA'er fra de niveau 1-virksomheder, der behandler millioner af transaktioner.
Turner siger, at nogle virksomheder overholder PCI DSS, da "det er en kontraktlig ting, hvorimod nogle større enheder er 100 % forpligtet til at beskytte brandet." Det er der, der er behov for konsekvent overholdelse, og at sikre, at du passer ind i ISO 27001, er et vigtigt skridt i den retning for at sikre, at du gør tingene korrekt.
Mens begge standarder fokuserer på tekniske og organisatoriske kontroller, fortæller PCI DSS dig, hvad den forventer at se i utvetydige termer. I modsætning hertil giver ISO 27001 organisationer mulighed for at bestemme, hvordan kommandoen vil se ud, relevant for risikovillighed.
Der er en klar indikation af, at sikkerhedsforanstaltninger er særligt afgørende for denne nye version, og at SSC overvejer fremtidige angreb, og hvordan man bedst forsvarer sig mod dem. Er dette et skridt til sikkerhed, der muliggør overholdelse? Det kan være et skridt fremad, da opfyldelse af disse krav vil involvere nogle sikkerhedsniveauer.
Lås op for din compliance-fordel i dag
Hvis du ønsker at starte din rejse til PCI DSS compliance, kan vi hjælpe.
