Το Συμβούλιο Προτύπων Ασφαλείας PCI (SSC), ο οργανισμός που επιβλέπει το Πρότυπο Ασφάλειας Δεδομένων της Βιομηχανίας Πληρωμής (PCI DSS), ανακοίνωσε αυτή την εβδομάδα την κυκλοφορία του PCI DSS v4.0.
Το PCI DSS 4.0 αντικαθιστά την έκδοση 3.2.1, την οποία κυκλοφόρησε το PCI SSC το 2018. Ο στόχος της τελευταίας έκδοσης του προτύπου είναι «να αντιμετωπίσει τις αναδυόμενες απειλές και τεχνολογίες και να επιτρέψει καινοτόμες μεθόδους για την καταπολέμηση νέων απειλών» στις πληροφορίες πληρωμών των πελατών.
Το PCI DSS 4.0, που περιγράφεται λεπτομερώς σε ένα έγγραφο 360 σελίδων, δημιουργήθηκε με βάση σχόλια από περισσότερα από 200 μέλη του παγκόσμιου κλάδου πληρωμών. Μια περίληψη των αλλαγών παρουσιάζεται σε ξεχωριστό έγγραφο.
Οι αλλαγές που επισημαίνονται από το PCI SCC περιλαμβάνουν την εφαρμογή MFA για κάθε πρόσβαση σε περιβάλλοντα δεδομένων κατόχων κάρτας, την αντικατάσταση του όρου «τείχη προστασίας» με «έλεγχοι ασφάλειας δικτύου» για την υποστήριξη ενός ευρύτερου φάσματος τεχνολογιών ασφάλειας και αυξημένη ευελιξία για τους οργανισμούς να δείξουν πώς χρησιμοποιούν διαφορετικές μεθόδους για την επίτευξη των στόχων ασφάλειας. Πολλές από τις νέες απαιτήσεις σχετίζονται με στοχευμένη ανάλυση κινδύνου.
Οι μεταφράσεις των νέων εγγράφων αναμένεται να είναι διαθέσιμες τους επόμενους μήνες.
Λόγω του γεγονότος ότι η εφαρμογή των ενημερώσεων μπορεί να πάρει κάποιο χρόνο, η έκδοση 3.2.1 θα παραμείνει ενεργή έως τις 31 Μαρτίου 2024. Η PCI SSC σημείωσε ότι ορισμένες από τις νέες απαιτήσεις θεωρούνται αρχικά βέλτιστες πρακτικές, αλλά θα τεθούν σε ισχύ στις 31 Μαρτίου, 2025. Μετά από αυτήν την ημερομηνία, θα ληφθούν πλήρως υπόψη στις αξιολογήσεις PCI DSS.
«Η τελευταία ενημέρωση του PCI DSS ήταν το 2018 και ο κόσμος έχει σίγουρα αλλάξει από τότε», δήλωσε ο Tim Erlin, Αντιπρόεδρος Στρατηγικής της Tripwire. «Οποιαδήποτε πρόσθετη έμφαση στην ασφαλή διαμόρφωση συστημάτων είναι μια ευπρόσδεκτη προσθήκη στις βέλτιστες πρακτικές για την ασφάλεια στον κυβερνοχώρο. Ενώ η προηγούμενη έκδοση του PCI DSS αφορούσε την ασφαλή διαμόρφωση, δυστυχώς επικεντρώθηκε στην αλλαγή των προεπιλεγμένων κωδικών πρόσβασης που παρέχονται από τον προμηθευτή. Η ασφαλής διαχείριση διαμόρφωσης υπερβαίνει κατά πολύ τους κωδικούς πρόσβασης που παρέχονται από τον προμηθευτή και είναι υπέροχο να βλέπουμε τη νέα έκδοση του προτύπου να ακολουθεί μια πιο επεκτατική προσέγγιση στις απαιτήσεις.”
«Το Zero Trust Architecture έχει αυξηθεί σε υιοθέτηση από τότε που κυκλοφόρησε η προηγούμενη έκδοση του PCI DSS το 2018», πρόσθεσε ο Έρλιν. «Η νέα έκδοση του προτύπου αφήνει χώρο για προσεγγίσεις Zero Trust στον έλεγχο ταυτότητας και την εξουσιοδότηση με δικαιώματα για «δυναμικά αναλυόμενη» στάση ασφαλείας ως μηχανισμό παροχής «πρόσβασης σε πραγματικό χρόνο στους πόρους» ως εναλλακτική λύση για τους εναλλασσόμενους κωδικούς πρόσβασης. Η ενημέρωση με τις βέλτιστες πρακτικές στον τομέα της κυβερνοασφάλειας είναι σημαντική προκειμένου να αποφευχθεί η υποβάθμιση της ασφάλειας από τους οργανισμούς προκειμένου να διατηρηθεί η συμμόρφωση».