PCI DSS v4.0: 'n Jaar later en twee jaar tot voldoening

Deur Dan Raywood • 5 April 2023

'n Jaar sedert die bekendstelling van PCI DSS v4.0 en twee jaar nader aan die sperdatum vir voldoening, hoe is hierdie nuwe weergawe omarm, en wat beteken dit vir die vergadering van sekuriteit en voldoening? Dan Raywood kyk na die nuwe vereistes.

Aan die einde van Maart 2022 is 'n nuwe weergawe van die Payment Card Industry Data Security Standard (PCI DSS) bekendgestel wat 'n paar pogings aangewend het om tred te hou met moderne kuberaanvaltegnieke en uiteindelik die sukses daarvan te voorkom.

Die vervanging van weergawe 3.2.1, weergawe 4.0 is op 31 Maart 2022 vrygestel, en die sperdatum vir voldoening is 31 Maart 2025. Intussen is weergawe 3.2.1 afgetree op 31 Maart 2024, so 'n besigheid kan nog tot daardie weergawe geoudit word. datum.

Beskryf as "meer reageer op die dinamiese aard van betalings en die bedreigingsomgewing" deur die PCI Security Standards Council (SSC), was die bedoeling om "kernsekuriteitsbeginsels te versterk, terwyl meer buigsaamheid verskaf word om diverse tegnologie-implementerings beter moontlik te maak."

Uiteindelik was die vier hoofdoelwitte: om voort te gaan om aan die sekuriteitsbehoeftes van die betaalbedryf te voldoen, sekuriteit as 'n deurlopende proses te bevorder, buigsaamheid vir verskillende metodologieë by te voeg en valideringsmetodes te verbeter.

Trouens, sekuriteit was van kritieke belang vir die ontwikkeling daarvan, aangesien onder die nuwe vereistes uitgebreide multifaktor-verifikasievereistes, opgedateerde wagwoordvereistes en nuwe phishing-opleidingvereistes was.

'n Jaar na die bekendstelling van hierdie nuwe standaard, hoe goed ontvang is die nuwe standaard? Een podcast het dit as 'n beduidende evolusie beskryf, aangesien die standaard vir tien jaar relatief staties was, met die laaste klein verandering vyf jaar gelede. "Gelyktydig met daardie verandering het die wêreld en kuberveiligheidswêrelde verander, en [veral] met die skuif na die wolk."

Jason Wallis, hoofkonsultant en QSA by One Compliance Cyber, het erken dat die verandering van 3.2.1 na 4.0 beduidend was en "effens beswaarlik" vir sommige besighede sou wees, veral in die opdatering van beleide, prosedures en prosesse. Tog, in werklikheid is daar nie te veel wat 'n maatskappy sal hoef te doen nie.

"Nuwe vereistes is bygevoeg omdat PCI SSC huidige bedreigings wat ontstaan het in ag geneem het," sê hy. "Elke dag word nuwe aanvalle ontdek waar kuberkrakers besighede betree, en namate daardie bedreigings toeneem en nuwe bedreigings ontstaan, moet die standaarde om maatskappye te beskerm met die nuwe bedreigings vorder."

Een besondere bedreiging is kaartvlug. Wallis verwys na die British Airways-voorval van 2018, wat 380,000 XNUMX kliënte geraak het, en sê dit is in nuwe vereistes aangespreek. Dit beteken nou dat die besigheid presies moet weet watter skrifte in hul kliënte se blaaiers vertoon word en, in sommige gevalle, veranderingsbespeuringstegnologie moet byvoeg wat hulle sal waarsku oor enige veranderinge aan enige konfigurasie binne hul betaalbladsy.

Wallis sê dat die nuwe vereiste terugvoer oor nuwe dreigemente gevolg het, sê Wallis dat hierdie tipe Man in the Middle-aanval dikwels geaktiveer word deur swak wagwoordbewyse of toegangsbeheer, en dit "kan onopgemerk word en kan vir baie, baie maande aanhou", hy sê.

“Die handelaar bespeur dit soms glad nie eers self nie, en dit is nie totdat die verkrygende bank hulle inlig 'ons het baie kliënte wat sê dat hulle oortree is of sê dat hulle kaartbesonderhede gesteel is'. ” Hy sê dat om aktief te kyk na watter skrifte op enige tydstip op 'n betaalbladsy loop of die gebruik van een of ander veranderingsopsporingsagteware die risiko moet verlaag dat iemand in die eerste plek kom.

"In die eerste plek verhoog jy die toegangsbeheervereistes om dit vir hulle moeiliker te maak om dit te kry, en as hulle dan wel ingekom het, het jy 'n ekstra vereiste wat dit meer geneig maak om vroeër opgespoor te word."

By die bekendstelling van wolk- en hibriede omgewings in algemene IT-praktyke, veral met die bekendstelling van AWS, Azure en Google Cloud, is daar die oorweging van hul nakoming sowel as jou eie. Wallis het gesê daar is vlakke van voldoening binne daardie platforms, en Google Cloud sal namens jou aan sekere vereistes voldoen terwyl ander vereistes gedeel word, en vir sommige ander is die handelaar verantwoordelik.

Simon Turner, senior bestuurder van ISSCA Consultancy Services en ISA by BT, sê die wolkfaktor is een van die beduidende fokusareas van weergawe 4.0 aangesien "weergawe 3 verskriklik was vir die kartering na die wolk en aangesien "QSA's afhanklik is van tegniese kundigheid, weergawe 4.0 is beslis nou gekarteer na wolktegnologieë.”

Was die bekendstelling van weergawe 4.0 'n positiewe ding? Turner sê in terme van voordeel vir die bedryf; dan is dit beslis die moeite werd. “In terme van QSA's en sekuriteitspersoneel, dan is dit 'n stap in die regte rigting: sommige sekuriteitspersoneel mag sê dit gaan nie ver genoeg nie, maar wat mense moet verstaan, is die besigheid moet funksioneer en moet betalings inneem. om te werk.”

Vir daardie besighede wat slegs selfassesseringsvraelyste hoef te voltooi, sal die vereistes vir ekstra bystand om voldoening te bereik waarskynlik verminder word. Daar word egter verwag dat daar 'n groter vraag na QSA's sal wees van daardie vlak-een-ondernemings wat miljoene transaksies verwerk.

Turner sê sommige besighede voldoen aan PCI DSS, aangesien "dit 'n kontraktuele ding is, terwyl sommige groter entiteite 100% daartoe verbind is om die handelsmerk te beskerm." Dit is waar daar 'n behoefte is aan konsekwente nakoming, en om te verseker dat jy by ISO 27001 pas, is 'n noodsaaklike stap in daardie rigting om te verseker dat jy dinge korrek doen.

Terwyl beide standaarde fokus op tegniese en organisatoriese kontroles, vertel PCI DSS jou wat dit verwag om te sien in ondubbelsinnige terme. In teenstelling hiermee laat ISO 27001 organisasies toe om te bepaal hoe die opdrag sal lyk wat relevant is vir risiko-aptyt.

Daar is 'n duidelike aanduiding dat sekuriteitsmaatreëls veral deurslaggewend vir hierdie nuwe weergawe is en dat die SSC toekomstige aanvalle oorweeg en hoe om die beste daarteen te verdedig. Maak dit 'n stap vir sekuriteit wat voldoening moontlik maak? Dit kan 'n stap vorentoe wees, aangesien voldoening aan hierdie vereistes sekere sekuriteitsvlakke sal behels.

Ontsluit vandag jou nakomingsvoordeel

As jy jou reis na PCI DSS-voldoening wil begin, kan ons help.

Praat Met 'n Deskundige

Dan Raywood

Dan Raywood het sedert 2008 oor IT-sekuriteit geskryf en is 'n voormalige ontleder in die inligtingsekuriteitspraktyk by 451 Research. Hy het gepraat by skoue insluitend 44CON, SecuriTay, SteelCon, Irisscon en Infosecurity Europe, sowel as skryf vir 'n aantal verskaffer blogs en aanbiedings op webuitsendings.

Lees meer van Dan Raywood

cyber Security 30 September 2025

Sal die grok-oortreding Genai-sekuriteitsbekommernisse skep?

Sal die Grok-oortreding GenAI-sekuriteitskwessies skep?

'n Onlangse voorval het kommer laat ontstaan oor hoe data deur GenAI-gereedskap hanteer word. Is dit tyd om te verseker dat jou data nie in hul L... beland nie.

Dan Raywood

cyber Security 29 Mei 2025

io kuberveiligheid en privaatheid nist se raamwerk kry 'n nuwe banier

Kuberveiligheid en privaatheid: NIST se raamwerk kry 'n opknapping

NIST het onlangs planne aangekondig om sy privaatheidsraamwerk te verfris en dit meer van 'n organiese aanbod en minder staties te maak. Bevoordeel dit die praktyk...

Dan Raywood

cyber Security 21 Januarie 2025

nul dag kwesbaarhede hoe kan jy voorberei vir die onverwagte banier

Zero-Day Kwesbaarhede: Hoe kan jy voorberei op die onverwagte?

Waarskuwings van wêreldwye kuberveiligheidsagentskappe het getoon hoe kwesbaarhede dikwels as nul-dae-krisisse uitgebuit word. In die lig van so 'n onvoorspelbare...

Dan Raywood