Komende veranderinge in die Betaalkaartbedryf-datasekuriteitstandaard (PCI-DSS) sal strenger sekuriteitsvereistes stel aan enige besighede wat kaarthouerdata hanteer.
PCI DSS voldoening word vereis vir alle handelaars wat kredietkaartbetalings aanvaar. Alle handelaars moet aan minimum vlakke van sekuriteit voldoen wanneer hulle kaarthouerdata berg, verwerk en versend. Organisasies wat 'n groter volume transaksies hanteer, is onderhewig aan strenger vereistes, insluitend 'n vereiste vir eksterne sekuriteitsoudits.
Die Raad vir Betaalkaartindustrie Sekuriteitstandaarde (PCI SSC) administreer die standaard, en die belangrikste kredietkaarthandelsmerke, insluitend Visa en Mastercard, beveel die gebruik daarvan.
A beduidende hersiening van die standaard, PCI-DSS v4, het ten doel om ontluikende bedreigings en die ontwikkelende sekuriteitsbehoeftes van die betaalbedryf aan te spreek. Die standaard verskaf 'n basislyn van tegniese en operasionele vereistes wat gesamentlik ontwerp is om rekeningdata te beskerm.
PCI-DSS v4 kom
PCI DSS v4.0 bestaan uit 12 vereistes wat in ses kategorieë georganiseer is, insluitend:
- Verhoogde fokus op sekuriteit as 'n deurlopende proses
- Meer buigsaamheid in hoe organisasies hul sekuriteitsdoelwitte kan bereik
- Nuwe vereistes vir diensverskaffers, insluitend die gebruik van multi-faktor stawing en die implementering van 'n nul-trust argitektuur
- Hersiene vereistes vir sagteware-ontwikkeling, insluitend veilige koderingspraktyke en die gebruik van outomatiese gereedskap vir kwesbaarheidskandering en penetrasietoetsing
- Strenger reëls vir wagwoordbestuur, insluitend die gebruik van wagwoordfrases en die verbod op sekere tipes wagwoorde
- Aanmoediging van meer sistematiese en effektiewe enkripsie, insluitend die ondersteuning van die bekendstelling van kwantumveilige kriptografie
Die 12 kontroles binne PCI DSS 4.0 is hoofsaaklik soortgelyk aan weergawe 3.2.1. PCI DSS v3.2.1 word gedepresieer omdat dit misluk het om tred te hou met beide veranderinge in die bedryf en kuberkriminele taktiek.
Terwyl vroeëre weergawes van die raamwerk voorskriftelik was (ontplooi firewalls, pas antiviruskontroles toe, ens.), is PCI DSS 4.0 daarop gerig om meer omvattende pogings deur organisasies te ondersteun om hul sekuriteitsvolwassenheid te verbeter.
Alhoewel sommige van die veranderinge evolusionêr is – soos die verandering van die vereiste vir antivirusprogrammatuur na 'n anti-wanware-oplossing of die verandering van die netwerkvereistes om die verskil tussen wolk- en fisiese netwerkargitekture te weerspieël – is ander meer substantief. Organisasies moet byvoorbeeld multi-faktor-verifikasie ontplooi om toegang tot die kaarthouer-data-omgewing te verkry.
Erkenning van die verhoogde bedreiging van voorsieningskettingaanvalle, e-handel handelaars sal ook gevra word om 'n sagteware-voorraad te onderhou, insluitend biblioteke en komponente. Daarbenewens vereis die raamwerk beskerming teen e-handel skimming aanvalle deur aktief te bestuur en veranderinge in JavaScript op die betaalbladsy op te spoor.
PCI-DSS v4 beklemtoon ook die opvoeding van werknemers oor sekuriteitsrisiko's en beste praktyke.
Luke Dash, uitvoerende hoof van ISMS.online, het gesê: “PCI-voldoening is nie net 'n boks om af te merk nie; dit is 'n verbintenis tot jou kliënte – 'n belofte van sekuriteit, deursigtigheid en blywende sakeverhoudings.”
Joseph Carson, hoofsekuriteitswetenskaplike en raadgewende CISO by Delina, het bygevoeg: “PCI-DSS v4 het die lat verhoog en standaarde vir kuberveiligheid in die betaalkaartbedryf, nie meer net 'n merkblokkie nie, maar 'n deurlopende kuberveiligheidsprogram.
Carson het voortgegaan: “Streng kontroles wat verband hou met toegangsekuriteit, insluitend multi-faktor-verifikasie, bevoorregte toegangsekuriteit, wagwoordsekuriteit en verbeterde standaarde vir uitvissing, impliseer dat die komende PCI-oudit groter sal wees as enige vorige oudit. Dit sal waarskynlik baie meer voorbereiding en hulpbronne verg om te verseker dat daar aan die vereistes voldoen word.”
PCI-DSS v4 Voldoening Sperdatum
Organisasies het tot 31 Maart 2024 om oorgang van PCI DSS v3.2.1 na v4.0 – met 'n sperdatum van 18 maande om volle nakoming teen Maart 2025 te bereik.
As voorheen gerapporteer, plaas die nuwe weergawe van die standaard groter klem op die beveiliging van e-handel-betalingstoepassings, beskerming teen Magecart-styl aanvalle en die implementering van veilige koderingspraktyke.
Die fokus van die hersiene raamwerk is op die beveiliging van transaksies en die bou van vertroue.
John Elliott, sekuriteitsadviseur by sekuriteitsgereedskapverkoper Jscrambler, het gesê: “Die grootste uitdaging sal wees om die 51 nuwe vereistes te implementeer wat in April 2025 in werking tree. Sommige hiervan sal dalk 'n verandering in besigheidsprosesse vereis en sal die verkryging van nuwe tegnologie of oplossings.
“Sommige – soos MFA [multi-faktor-verifikasie] vir alle toegang – het jy dalk reeds geïmplementeer as deel van jou BAU [besigheid soos gewoonlik] sekuriteitsopgraderings, maar ander, soos die spesifieke vereistes om e-handel vlugtige aanvalle te stop, sal neem tyd en tegnologie om te bevredig,” het Elliott bygevoeg.
Richard Orange, VP EMEA van Exabeam, het bygevoeg: “Die opgedateerde standaard beklemtoon effektiewe netwerksegmentering. Dit moedig besighede aan om isolasiemaatreëls te implementeer om die kompromie van sensitiewe data te voorkom en 'n nul-trustbenadering tot netwerksekuriteit te hê. Maatskappye moet veilige koderingsriglyne volg, gereelde kodehersiening en kwesbaarheidskanderings uitvoer, en veilige toepassingkonfigurasie verseker.”
Bestuur van PCI-voldoeningsprojekte
Proaktiewe PCI-DSS v4-voorbereiding sal besighede genoeg tyd gee om potensiële probleme op te los – wat die behoefte aan duur noodoplossings op die laaste minuut vermy.
ISMS.online se Dash het opgemerk: "Vroeë PCI-DSS v4-voorbereiding maak voorsiening vir gespreide implementering, die verspreiding van koste en die vermindering van bedryfsontwrigtings."
Exabeam's Orange het gesê: “Klein besighede kan dit dalk moeilik vind om aan die strenger vereistes van PCI-DSS v4 te voldoen. Die verhoogde fokus op enkripsie, netwerksegmentering en multi-faktor-verifikasie (MFA) kan bykomende beleggings in hulpbronne en tegnologie vereis, wat begrotings kan knou, veral vir maatskappye wat reeds hul gordels moes styftrek sedert die pandemie.
"In teenstelling hiermee kan groter ondernemings met robuuste sekuriteitsmaatreëls 'n makliker tyd hê om by die nuwe veranderinge aan te pas," het hy bygevoeg.
Ten spyte van hierdie uitdagings, "kan voldoening aan PCI-DSS v4 die algehele sekuriteitsposisie verbeter en die risiko van data-oortredings verminder, wat lei tot finansiële verliese, reputasieskade en wetlike aanspreeklikhede," het Exabeam's Orange afgesluit.
Die implementering van die standaard kan ook kliënte se vertroue en vertroue verbeter, wat 'n verbintenis toon om sensitiewe kaarthouerinligting te beskerm.
Donnie MacColl, Senior Direkteur, Tegniese Ondersteuning en DPO, Fortra, 'n verskaffer van kubersekuriteit, het verduidelik dat die veranderinge wat met PCI DSS v4 sal kom, nie alle besighede op dieselfde manier sal beïnvloed nie.
"Daar is vier afsonderlike vlakke van voldoening wat deur individuele organisasies vereis word, wat gebaseer is op transaksievolume oor 'n tydperk van 12 maande," het MacColl aan ISMS.online gesê.
Byvoorbeeld, laer voldoeningsvlak organisasies (vlakke 2 – 4) het nie 'n eksterne oudit nodig nie, maar kan eerder 'n selfevalueringsvraelys voltooi. Daarenteen, as 'n besigheid meer as ses miljoen kaarttransaksies jaarliks verwerk, moet dit vlak 1-voldoening demonstreer, 'n proses wat 'n eksterne oudit behels wat deur 'n gekwalifiseerde sekuriteitsbeoordelaar uitgevoer word.
MacColl het tot die gevolgtrekking gekom: “Ongeag organisasiegrootte, vereis die doeltreffende oorgang na PCI DSS 4.0 'n benadering wat tegniese en kulturele veranderinge in ag neem. Dit is nie 'n een-en-klaar poging nie. Dit sal ’n gefaseerde benadering oor tyd verg.”
