Hoe is deze nieuwe versie, een jaar na de introductie van PCI DSS v4.0 en twee jaar dichter bij de deadline voor compliance, omarmd en wat betekent dit voor de ontmoeting tussen security en compliance? Dan Raywood onderzoekt de nieuwe vereisten.
Eind maart 2022 werd een nieuwe versie van de Payment Card Industry Data Security Standard (PCI DSS) geïntroduceerd, die enkele pogingen deed om moderne cyberaanvaltechnieken bij te houden en uiteindelijk het succes ervan te voorkomen.
Versie 3.2.1 vervangt versie 4.0 en is uitgebracht op 31 maart 2022, en de deadline voor naleving is 31 maart 2025. Ondertussen is versie 3.2.1 op 31 maart 2024 buiten gebruik gesteld, zodat een bedrijf tot die tijd nog steeds naar die versie kan worden gecontroleerd. datum.
Beschreven als “beter reagerend op de dynamische aard van betalingen en de dreigingsomgeving” door de PCI Security Standards Council (SSC), was het de bedoeling om “de kernveiligheidsprincipes te versterken en tegelijkertijd meer flexibiliteit te bieden om diverse technologie-implementaties beter mogelijk te maken.”
Uiteindelijk waren de vier hoofddoelen: blijven voldoen aan de beveiligingsbehoeften van de betalingssector, beveiliging als een continu proces bevorderen, flexibiliteit toevoegen voor verschillende methodologieën en validatiemethoden verbeteren.
In feite was beveiliging van cruciaal belang voor de ontwikkeling ervan, aangezien onder de nieuwe vereisten uitgebreide multi-factor authenticatievereisten, bijgewerkte wachtwoordvereisten en nieuwe phishing-trainingsvereisten waren.
Hoe goed is de nieuwe standaard een jaar na de lancering van deze nieuwe standaard ontvangen? Eén podcast beschreef het als een significante evolutie, aangezien de standaard al tien jaar relatief statisch was en de laatste kleine verandering vijf jaar geleden. “Tegelijkertijd met die verandering veranderden de wereld en de cyberveiligheidswereld, en [vooral] met de overstap naar de cloud.”
Jason Wallis, hoofdconsultant en QSA bij One Compliance Cyber, gaf toe dat de verandering van 3.2.1 naar 4.0 aanzienlijk was en “enigszins belastend” zou zijn voor sommige bedrijven, vooral bij het updaten van beleid, procedures en processen. Toch is er in werkelijkheid niet zoveel dat een bedrijf zou moeten doen.
“Er zijn nieuwe eisen toegevoegd omdat PCI SSC rekening heeft gehouden met de huidige bedreigingen die zich voordoen”, zegt hij. “Elke dag worden er nieuwe aanvallen ontdekt waarbij hackers bedrijven binnendringen, en naarmate deze bedreigingen toenemen en er nieuwe bedreigingen ontstaan, moeten de normen om bedrijven te beschermen met de nieuwe bedreigingen vooruitgaan.”
Een bijzondere bedreiging is het skimmen van kaarten. Wallis verwijst naar het British Airways-incident uit 2018, waarbij 380,000 klanten betrokken waren, en zegt dat dit is aangepakt in nieuwe eisen. Dit betekent nu dat het bedrijf precies moet weten welke scripts worden weergegeven in de browsers van zijn klanten en in sommige gevallen veranderingsdetectietechnologie moet toevoegen die hen waarschuwt voor eventuele wijzigingen in de configuratie op hun betalingspagina.
Wallis zegt dat de nieuwe vereiste volgt op feedback over nieuwe bedreigingen en zegt dat dit type Man in the Middle-aanval vaak mogelijk wordt gemaakt door zwakke wachtwoordgegevens of toegangscontrole, en dat het “onopgemerkt kan blijven en vele, vele maanden kan duren”, zegt hij. zegt.
“Soms merkt de handelaar het zelf helemaal niet, en pas als de overnemende bank hen informeert: 'We hebben veel klanten die zeggen dat er inbreuk op hen is gemaakt of dat hun kaartgegevens zijn gestolen'. ” Hij zegt dat het actief kijken naar welke scripts op een bepaald moment op een betalingspagina worden uitgevoerd of het gebruik van software voor het detecteren van wijzigingen het risico zou moeten verkleinen dat iemand überhaupt in aanraking komt.
"Allereerst verhoog je de eisen voor toegangscontrole om het voor hen moeilijker te maken om deze te bemachtigen. En als ze toch binnenkomen, heb je een extra vereiste waardoor de kans groter is dat ze eerder worden ontdekt."
Bij de introductie van cloud- en hybride omgevingen in algemene IT-praktijken, vooral met de introductie van AWS, Azure en Google Cloud, wordt zowel rekening gehouden met hun compliance als met die van u. Wallis zei dat er binnen deze platforms nalevingsniveaus zijn, en dat Google Cloud namens u aan sommige vereisten zal voldoen, terwijl andere vereisten worden gedeeld, en voor sommige andere is de verkoper verantwoordelijk.
Simon Turner, senior manager van ISSCA Consultancy Services en ISA bij BT, zegt dat de cloudfactor een van de belangrijkste aandachtsgebieden van versie 4.0 is, omdat “versie 3 verschrikkelijk was voor mapping naar de cloud en omdat “QSA’s afhankelijk zijn van technische expertise, 4.0 wordt nu zeker ingezet voor cloudtechnologieën.”
Is de introductie van versie 4.0 positief geweest? Turner zegt in termen van voordelen voor de industrie; dan is het zeker de moeite waard. “In termen van QSA’s en beveiligingsprofessionals is het een stap in de goede richting: sommige beveiligingsprofessionals zeggen misschien dat het niet ver genoeg gaat, maar wat mensen moeten begrijpen is dat het bedrijf moet opereren en betalingen moet ontvangen. opdracht te geven om te opereren.”
Voor bedrijven die alleen zelfbeoordelingsvragenlijsten hoeven in te vullen, zullen de vereisten voor extra hulp om naleving te bereiken waarschijnlijk worden verminderd. Er wordt echter verwacht dat de vraag naar QSA's zal toenemen van de niveau-één-bedrijven die miljoenen transacties verwerken.
Turner zegt dat sommige bedrijven PCI DSS naleven omdat “het een contractuele aangelegenheid is, terwijl sommige grotere entiteiten zich 100% inzetten voor de bescherming van het merk.” Dat is waar er behoefte is aan consistente naleving, en ervoor zorgen dat u binnen ISO 27001 past, is een cruciale stap in die richting om ervoor te zorgen dat u de zaken correct doet.
Terwijl beide standaarden zich richten op technische en organisatorische controles, vertelt PCI DSS u in ondubbelzinnige bewoordingen wat het verwacht te zien. ISO 27001 biedt organisaties daarentegen de mogelijkheid om te bepalen hoe de opdracht eruit zal zien, relevant voor de risicobereidheid.
Er zijn duidelijke aanwijzingen dat veiligheidsmaatregelen bijzonder cruciaal zijn voor deze nieuwe versie en dat de SSC toekomstige aanvallen overweegt en nagaat hoe zij zich daar het beste tegen kunnen verdedigen. Is dit een stap in de richting van beveiliging die compliance mogelijk maakt? Het kan een stap voorwaarts zijn, omdat het voldoen aan deze vereisten een aantal beveiligingsniveaus met zich meebrengt.
Ontgrendel vandaag nog uw compliancevoordeel
Als u uw reis naar PCI DSS-compliance wilt beginnen, kunnen wij u helpen.
