Nedtællingen begynder: Trin til at omfavne PCI-DSS v4.0 inden 2024
Indholdsfortegnelse:
Kommende ændringer i Payment Card Industry Data Security Standard (PCI-DSS) vil stille strengere sikkerhedskrav til alle virksomheder, der håndterer kortholderdata.
PCI DSS overholdelse er påkrævet for alle forhandlere, der accepterer kreditkortbetalinger. Alle forhandlere skal opfylde minimumsniveauer af sikkerhed, når de opbevarer, behandler og overfører kortholderdata. Organisationer, der håndterer en større mængde transaktioner, er underlagt strengere krav, herunder krav om ekstern sikkerhedsrevision.
Payment Card Industry Security Standards Council (PCI SSC) administrerer standarden, og de store kreditkortmærker, herunder Visa og Mastercard, giver mandat til at bruge den.
A væsentlig revision af standarden, PCI-DSS v4, sigter mod at imødegå nye trusler og betalingsindustriens skiftende sikkerhedsbehov. Standarden giver en basislinje af tekniske og operationelle krav, der tilsammen er designet til at beskytte kontodata.
PCI-DSS v4 er på vej
PCI DSS v4.0 består af 12 krav, der er organiseret i seks kategorier, herunder:
- Øget fokus på sikkerhed som en kontinuerlig proces
- Mere fleksibilitet i, hvordan organisationer kan nå deres sikkerhedsmål
- Nye krav til tjenesteudbydere, herunder brug af multi-faktor autentificering og implementering af en nul-tillid arkitektur
- Reviderede krav til softwareudvikling, herunder sikker kodningspraksis og brug af automatiserede værktøjer til sårbarhedsscanning og penetrationstest
- Strengere regler for adgangskodehåndtering, herunder brug af adgangssætninger og forbud mod visse typer adgangskoder
- Tilskyndelse til mere systematisk og effektiv kryptering, herunder støtte til indførelsen af kvantesikker kryptografi
De 12 kontroller i PCI DSS 4.0 ligner primært version 3.2.1. PCI DSS v3.2.1 bliver afskrevet, fordi den ikke har kunnet holde trit med både ændringer i branchen og cyberkriminelle taktikker.
Mens tidligere versioner af rammeværket var præskriptive (implementer firewalls, anvend antiviruskontroller osv.), er PCI DSS 4.0 gearet til at understøtte en mere omfattende indsats fra organisationers side for at forbedre deres sikkerhedsmodenhed.
Selvom nogle af ændringerne er evolutionære – såsom ændring af kravet til antivirussoftware til en anti-malware-løsning eller ændring af netværkskravene for at afspejle forskellen mellem cloud- og fysiske netværksarkitekturer – er andre mere substantielle. For eksempel skal organisationer implementere multifaktorgodkendelse for at få adgang til kortholderens datamiljø.
I erkendelse af den øgede trussel om forsyningskædeangreb, vil e-handelshandlere også blive bedt om at vedligeholde en softwarebeholdning, herunder biblioteker og komponenter. Derudover kræver rammerne beskyttelse mod e-handel skimming-angreb ved aktivt at administrere og detektere ændringer i JavaScript på betalingssiden.
PCI-DSS v4 lægger også vægt på at uddanne medarbejderne om sikkerhedsrisici og bedste praksis.
Luke Dash, administrerende direktør for ISMS.online, kommenterede: “PCI-overholdelse er ikke bare et felt at sætte kryds; det er en forpligtelse over for dine kunder – et løfte om sikkerhed, gennemsigtighed og varige forretningsforbindelser.”
Joseph Carson, chefsikkerhedsforsker og rådgivende CISO hos Delina, tilføjede: "PCI-DSS v4 har hævet barren og standarder for cybersikkerhed i betalingskortindustrien, der ikke længere kun er et afkrydsningsfelt, men et kontinuerligt cybersikkerhedsprogram.
Carson fortsatte: "Strenge kontroller relateret til adgangssikkerhed, herunder multi-faktor-autentificering, privilegeret adgangssikkerhed, adgangskodesikkerhed og forbedrede standarder for phishing, indebærer, at den kommende PCI-audit vil være større end nogen tidligere revision. Det vil sandsynligvis kræve meget mere forberedelse og ressourcer at sikre, at kravene bliver opfyldt."
PCI-DSS v4 Overholdelsesfrist
Organisationer har indtil 31. marts 2024 til overgang fra PCI DSS v3.2.1 til v4.0 – med en 18-måneders frist for at opnå fuld overholdelse inden marts 2025.
As tidligere rapporteret, lægger den nye version af standarden øget vægt på sikring af e-handelsbetalingsapplikationer, beskyttelse mod Magecart-lignende angreb og implementering af sikker kodningspraksis.
Fokus i de reviderede rammer er på at sikre transaktioner og opbygge tillid.
John Elliott, sikkerhedsrådgiver hos leverandøren af sikkerhedsværktøjer Jscrambler, sagde: "Hovedudfordringen bliver at implementere de 51 nye krav, der træder i kraft i april 2025. Nogle af disse kan kræve en ændring i forretningsprocesser og vil kræve anskaffelse af ny teknologi eller løsninger.
"Nogle – som MFA [multi-faktor autentificering] for al adgang – har du muligvis allerede implementeret som en del af dine BAU [business as usual] sikkerhedsopgraderinger, men andre, som de specifikke krav til at stoppe e-handel skimming-angreb, vil tage tid og teknologi til at tilfredsstille," tilføjede Elliott.
Richard Orange, VP EMEA for Exabeam, tilføjede: "Den opdaterede standard lægger vægt på effektiv netværkssegmentering. Det opfordrer virksomheder til at implementere isoleringsforanstaltninger for at forhindre kompromittering af følsomme data og have en nul-tillid tilgang til netværkssikkerhed. Virksomheder skal følge retningslinjer for sikker kodning, udføre regelmæssige kodegennemgange og sårbarhedsscanninger og sikre sikker applikationskonfiguration."
Håndtering af PCI Compliance-projekter
Proaktiv PCI-DSS v4-forberedelse vil give virksomheder masser af tid til at løse potentielle problemer - og undgå behovet for dyre nødløsninger i sidste øjeblik.
ISMS.online's Dash kommenterede: "Tidlig PCI-DSS v4-forberedelse giver mulighed for forskudt implementering, spredning af omkostninger og reduktion af driftsforstyrrelser."
Exabeams Orange kommenterede: "Små virksomheder kan finde det udfordrende at overholde de strengere krav i PCI-DSS v4. Det øgede fokus på kryptering, netværkssegmentering og multi-faktor autentificering (MFA) kan kræve yderligere investeringer i ressourcer og teknologi, hvilket kan belaste budgetterne, især for virksomheder, der allerede har været nødt til at spænde livremmen op siden pandemien.
"I modsætning hertil kan større virksomheder med robuste sikkerhedsforanstaltninger have lettere ved at tilpasse sig de nye ændringer," tilføjede han.
På trods af disse udfordringer "kan overholdelse af PCI-DSS v4 forbedre den overordnede sikkerhedsposition og reducere risikoen for databrud, hvilket fører til økonomiske tab, omdømmeskader og juridiske forpligtelser," konkluderede Exabeams Orange.
Implementering af standarden kan også forbedre kundernes tillid og tillid, hvilket viser en forpligtelse til at beskytte følsomme kortholderoplysninger.
Donnie MacColl, Senior Director, Technical Support og DPO, Fortra, en cybersikkerhedsudbyder, forklarede, at de ændringer, der vil komme med PCI DSS v4, ikke vil påvirke alle virksomheder på samme måde.
"Der er fire forskellige niveauer af overholdelse, der kræves af individuelle organisationer, som er baseret på transaktionsvolumen over en 12-måneders periode," sagde MacColl til ISMS.online.
For eksempel behøver organisationer på lavere complianceniveau (niveau 2 – 4) ikke en ekstern revision, men kan i stedet udfylde et selvevalueringsspørgeskema. Hvis en virksomhed derimod behandler mere end seks millioner korttransaktioner årligt, skal den demonstrere overholdelse af niveau 1, en proces, der involverer en ekstern revision udført af en kvalificeret sikkerhedsvurdering.
MacColl konkluderede: "Uanset organisationens størrelse kræver en effektiv overgang til PCI DSS 4.0 en tilgang, der tager højde for tekniske og kulturelle ændringer. Dette er ikke en en-og-gjort form for indsats. Det vil kræve en trinvis tilgang over tid."
