Het aftellen begint: stappen om PCI-DSS v4.0 tegen 2024 te omarmen

Het aftellen is begonnen: stappen om PCI-DSS v4.0 tegen 2024 te omarmen

Door John Leyden • 26 oktober 2023

Aankomende wijzigingen in de Payment Card Industry Data Security Standard (PCI-DSS) zullen strengere beveiligingseisen stellen aan alle bedrijven die kaarthoudergegevens verwerken.

PCI DSS naleving is vereist voor alle verkopers die creditcardbetalingen accepteren. Alle verkopers moeten aan minimale beveiligingsniveaus voldoen wanneer zij kaarthoudergegevens opslaan, verwerken en verzenden. Organisaties die een groter volume aan transacties afhandelen, zijn onderworpen aan strengere eisen, waaronder een vereiste voor externe beveiligingsaudits.

De Payment Card Industry Security Standards Council (PCI SSC) beheert de standaard, en de grote creditcardmerken, waaronder Visa en Mastercard, stellen het gebruik ervan verplicht.

A belangrijke herziening van de standaard, PCI-DSS v4, heeft tot doel opkomende dreigingen en de veranderende veiligheidsbehoeften van de betalingssector aan te pakken. De standaard biedt een basislijn van technische en operationele vereisten die gezamenlijk zijn ontworpen om accountgegevens te beschermen.

PCI-DSS v4 komt eraan

PCI DSS v4.0 bestaat uit 12 vereisten die zijn onderverdeeld in zes categorieën, waaronder:

Meer aandacht voor beveiliging als continu proces
Meer flexibiliteit in de manier waarop organisaties hun beveiligingsdoelen kunnen bereiken
Nieuwe eisen voor dienstverleners, waaronder het gebruik van multi-factor authenticatie en de implementatie van een zero-trust architectuur
Herziene vereisten voor softwareontwikkeling, inclusief veilige coderingspraktijken en het gebruik van geautomatiseerde tools voor het scannen op kwetsbaarheden en penetratietesten
Strengere regels voor wachtwoordbeheer, waaronder het gebruik van wachtwoordzinnen en het verbod op bepaalde soorten wachtwoorden
Het aanmoedigen van meer systematische en effectieve encryptie, inclusief ondersteuning van de introductie van kwantumveilige cryptografie

De 12 bedieningselementen binnen PCI DSS 4.0 zijn grotendeels vergelijkbaar met versie 3.2.1. PCI DSS v3.2.1 wordt afgeschreven omdat het er niet in is geslaagd gelijke tred te houden met zowel de veranderingen in de sector als de tactieken van cybercriminelen.

Terwijl eerdere versies van het raamwerk prescriptief waren (firewalls implementeren, antiviruscontroles toepassen, enz.), is PCI DSS 4.0 gericht op het ondersteunen van meer omvattende inspanningen van organisaties om hun beveiligingsvolwassenheid te verbeteren.

Hoewel sommige veranderingen evolutionair van aard zijn – zoals het veranderen van de vereisten voor antivirussoftware naar een anti-malwareoplossing of het veranderen van de netwerkvereisten om het verschil tussen cloud- en fysieke netwerkarchitecturen weer te geven – zijn andere meer inhoudelijk. Organisaties moeten bijvoorbeeld multi-factor authenticatie inzetten om toegang te krijgen tot de gegevensomgeving van kaarthouders.

Erkenning van de toegenomen dreiging van aanvallen op de toeleveringsketenzullen e-commercehandelaren ook worden gevraagd een software-inventaris bij te houden, inclusief bibliotheken en componenten. Bovendien vereist het raamwerk bescherming tegen e-commerce skimming-aanvallen door actief wijzigingen in JavaScript op de betalingspagina te beheren en te detecteren.

PCI-DSS v4 legt ook de nadruk op het voorlichten van werknemers over beveiligingsrisico's en best practices.

Luke Dash, CEO van ISMS.online, zegt: “PCI-compliance is niet alleen maar een vakje dat je moet aanvinken; het is een toewijding aan uw klanten – een belofte van veiligheid, transparantie en duurzame zakelijke relaties.”

Joseph Carson, hoofd beveiligingswetenschapper en adviserend CISO bij Delina, voegde toe: “PCI-DSS v4 heeft de lat hoger gelegd en standaarden voor cyberbeveiliging in de betaalkaartindustrie, niet langer slechts een selectievakje, maar een continu cyberbeveiligingsprogramma.

Carson vervolgde: “Strenge controles met betrekking tot toegangsbeveiliging, waaronder multi-factor authenticatie, bevoorrechte toegangsbeveiliging, wachtwoordbeveiliging en verbeterde standaarden voor phishing, impliceren dat de komende PCI-audit groter zal zijn dan welke voorgaande audit dan ook. Er zullen waarschijnlijk veel meer voorbereiding en middelen nodig zijn om ervoor te zorgen dat aan de vereisten wordt voldaan.”

PCI-DSS v4-nalevingsdeadline

Organisaties hebben tot 31 maart 2024 de tijd om overgang van PCI DSS v3.2.1 naar v4.0 – met een deadline van 18 maanden om tegen maart 2025 volledige naleving te bereiken.

As eerder gemeld, legt de nieuwe versie van de standaard meer nadruk op het beveiligen van betalingsapplicaties voor e-commerce, bescherming tegen aanvallen in Magecart-stijl en het implementeren van veilige coderingspraktijken.

De focus van het herziene raamwerk ligt op het veiligstellen van transacties en het opbouwen van vertrouwen.

John Elliott, beveiligingsadviseur bij leverancier van beveiligingstools Jscrambler, zei: “De belangrijkste uitdaging zal het implementeren van de 51 nieuwe vereisten zijn die in april 2025 van kracht worden. Sommige hiervan vereisen mogelijk een verandering in bedrijfsprocessen en vereisen de aanschaf van nieuwe technologie of oplossingen.

“Sommige – zoals MFA [multi-factor authenticatie] voor alle toegang – heb je misschien al geïmplementeerd als onderdeel van je BAU [business as usual] beveiligingsupgrades, maar andere, zoals de specifieke vereisten om skimming-aanvallen op e-commerce te stoppen, zullen nodig zijn tijd en technologie om tevreden te stellen”, voegde Elliott eraan toe.

Richard Orange, VP EMEA van Exabeam, voegde hieraan toe: “De bijgewerkte standaard legt de nadruk op effectieve netwerksegmentatie. Het moedigt bedrijven aan om isolatiemaatregelen te implementeren om het compromitteren van gevoelige gegevens te voorkomen en een zero-trust-benadering van netwerkbeveiliging te hanteren. Bedrijven moeten richtlijnen voor veilige codering volgen, regelmatig codebeoordelingen en kwetsbaarheidsscans uitvoeren en zorgen voor een veilige applicatieconfiguratie.”

Beheer van PCI-complianceprojecten

Proactieve PCI-DSS v4-voorbereiding geeft bedrijven voldoende tijd om potentiële problemen op te lossen – waardoor de noodzaak van last-minute, dure noodoplossingen wordt vermeden.

Dash van ISMS.online merkte op: "Vroegtijdige voorbereiding van PCI-DSS v4 maakt gespreide implementatie mogelijk, spreidt de kosten en vermindert operationele verstoringen."

Orange van Exabeam merkte op: “Kleine bedrijven kunnen het een uitdaging vinden om te voldoen aan de strengere eisen van PCI-DSS v4. De toegenomen focus op encryptie, netwerksegmentatie en multi-factor authenticatie (MFA) kan extra investeringen in middelen en technologie vergen, wat de budgetten onder druk zou kunnen zetten, vooral voor bedrijven die sinds de pandemie al de broekriem hebben moeten aanhalen.

“Grotere bedrijven met robuuste beveiligingsmaatregelen kunnen zich daarentegen gemakkelijker aanpassen aan de nieuwe veranderingen”, voegde hij eraan toe.

Ondanks deze uitdagingen kan “naleving van PCI-DSS v4 de algehele beveiligingspositie verbeteren en het risico op datalekken verminderen, wat kan leiden tot financiële verliezen, reputatieschade en wettelijke aansprakelijkheid”, concludeert Orange van Exabeam.

Het implementeren van de standaard kan ook het vertrouwen van klanten vergroten, wat blijk geeft van toewijding aan het beschermen van gevoelige kaarthouderinformatie.

Donnie MacColl, Senior Director, Technical Support en DPO, Fortra, een cybersecurityprovider, legde uit dat de veranderingen die met PCI DSS v4 gepaard gaan niet alle bedrijven op dezelfde manier zullen beïnvloeden.

“Er zijn vier verschillende nalevingsniveaus vereist voor individuele organisaties, die zijn gebaseerd op het transactievolume over een periode van twaalf maanden”, vertelde MacColl aan ISMS.online.

Organisaties met een lager complianceniveau (niveau 2 – 4) hebben bijvoorbeeld geen externe audit nodig, maar kunnen in plaats daarvan een zelfbeoordelingsvragenlijst invullen. Als een bedrijf daarentegen jaarlijks meer dan zes miljoen kaarttransacties verwerkt, moet het naleving van niveau 1 aantonen, een proces waarbij een externe audit wordt uitgevoerd door een gekwalificeerde beveiligingsbeoordelaar.

MacColl concludeerde: “Ongeacht de omvang van de organisatie vereist een effectieve transitie naar PCI DSS 4.0 een aanpak die rekening houdt met technische en culturele veranderingen. Dit is geen eenmalige inspanning. Het zal in de loop van de tijd een gefaseerde aanpak vereisen.”

John Leiden

John Leyden schrijft al meer dan twintig jaar over computernetwerken en cyberbeveiliging. Vóór de komst van internet werkte hij als misdaadverslaggever bij een plaatselijke krant in Manchester. John heeft een diploma in elektronica behaald aan City, University of London.

Lees meer van John Leyden

Data Privacy 22 augustus 2024

bedrijven worden aangespoord om de 'snel evoluerende' ai-regelgeving te volgen

Bedrijven worden aangespoord om de 'snel evoluerende' AI-regelgeving in de gaten te houden

Kunstmatige intelligentie (AI) transformeert de informatietechnologiesector in een duizelingwekkend tempo. AI heeft toepassingen getransformeerd, waaronder data...

John Leiden

Cyber security 20 juni 2024

waarom leveranciers moeite kunnen hebben om het ‘secure by design’-momentumbanner in stand te houden

Waarom leveranciers moeite kunnen hebben om het ‘Secure by Design’-momentum te behouden

Tientallen technologieleveranciers hebben zich aangesloten bij de door de Amerikaanse overheid gesteunde Secure by Design-belofte. Maar zal deze belofte een breuk met het verleden betekenen?

John Leiden

Cyber security 28 May 2024

het decoderen van de nieuwe richtlijnen van de ncsc voor in de cloud gehoste scada-banner

Decodering van de nieuwe richtlijnen van het NCSC voor cloud-hosted SCADA

Systemen voor operationele technologie (OT) bewaken en besturen automatisch processen en apparatuur die van alles aansturen, van energiecentrales tot slimme ziekenhuizen.

John Leiden