В продължение на две десетилетия Съветът за стандарти за сигурност в индустрията на разплащателните карти PCI Security Standards Council (PCI SSC) изисква спазване на непрекъснато растящ набор от строги технически и оперативни изисквания, за да защити данните на картодържателя. PCI DSS 4.0 е най-голямата актуализация на стандарта за сигурност на данните в сектора на разплащателните карти от създаването му през 2004 г. Той се прилага за всяка организация, която приема, обработва, съхранява или предава данни за карти – което означава повечето финансови институции.
Какво трябва да приоритизират фирмите за финансови услуги, за да ускорят съответствието преди крайния срок 1 април 2025 г.?
Какво е новото в PCI DSS 4.0?
PCI DSS 4.0 е проектиран да върви в крак с времето – не е лесно постижение в свят, в който иновациите в заплахите се движат толкова бързо, колкото дигиталната трансформация на предприятието. Ето защо той въвежда серия от нови изисквания, предназначени да гарантират, че спазването на разпоредбите осигурява възможно най-добра сигурност. Всъщност банковата индустрия е основна мишена за нарушения на данните, като се има предвид огромното количество данни за карти и лична информация (PII), които съхранява. Според едно скорошно проучване секторът е бил най-пробиваният през 2023 г., изпреварвайки здравеопазването с над една четвърт (27%) регистрирани инциденти.
В този контекст някои от ключовите промени от предишната PCI DSS итерация са:
- По-голям набор от приемливи контроли за мрежова сигурност, които могат да се използват вместо защитни стени.
- Ново изискване за внедряване на многофакторно удостоверяване (MFA) за достъп до средата с данни на картодържателя (CDE)
- По-голяма гъвкавост при демонстриране на съответствие с целите за сигурност
- Нови целеви анализи на риска, предназначени да предоставят на спазващите изискванията организации повече гъвкавост по отношение на това колко често извършват определени дейности
С мисията да бъде в крак с непрекъснато променящата се индустрия на карти, технологии и заплахи, PCI DSS 4.0 е проектиран да:
- Осигури по-голяма гъвкавост в технологиите, които организациите могат да използват, за да постигнат съответствие.
- Насърчава постоянната сигурност, вместо да третира съответствието/сигурността като стремеж за отметка.
- Подобри методите и процедурите за валидиране.
Пет стъпки, за да започнете
Има над 50 нови изисквания в PCI DSS 4.0. Някои ще бъдат по-лесни за изпълнение от други. За да започнете, помислете за следното:
- Извършете оценка на готовността
Потърсете вътрешен експерт или експерт от трета страна, който да оцени обхвата на програмата за съответствие с PCI DSS на организацията и да провери дали е правилна. Всичко, направено на този етап за намаляване на обхвата (като премахване на ненужни хардуерни/софтуерни компоненти), също ще помогне за намаляване на разходите и минимизиране на повърхността на атаката. Този първоначален процес трябва да идентифицира всички пропуски и да предостави пътна карта за съответствие. - Актуализирайте програмите за обучение и осведоменост
Много организации забравят, че критичен компонент на успеха на PCI DSS са хората. Персоналът трябва да бъде редовно информиран относно най-новите заплахи за сигурността и как да ги идентифицира и да се справя с тях. Това е така, защото всеки изминал месец заплахите измислят нови начини за компрометиране на CDE. Обученията трябва да включват симулации на атаки в реалния свят и да бъдат сравнително кратки (10-15 минути), но чести. - Разработете правилните политики и процедури
Това е може би най-важната стъпка, тъй като политиката е в основата на всяка стратегия за съответствие. Това ще изисква документиране на набор от писмени процедури, които обясняват как организацията управлява своя CDE. Включете информационната сигурност, реакцията при инциденти и информираността и обучението на потребителите като отправна точка. - Бъдете подробни с технически контроли
PCI DSS 4.0 е много подробен в необходимия технически контрол. Там също ще има някои актуализации от предишни версии, като MFA, анти-фишинг процедури, удостоверяване на вътрешно сканиране за уязвимости и мерки против електронно скимиране. Запомнете: дяволът е в детайлите. - Извършвайте непрекъснат мониторинг
PCI DSS 4.0 е свързан със сигурността като непрекъснат процес, а не като игра на съответствие в даден момент. Един от най-добрите начини да постигнете това е чрез непрекъснат мониторинг на контролите за сигурност и на CDE. Първият ще оцени и маркира всички неефективни контроли за коригиране, докато вторият ще гарантира, че всички нови данни, появяващи се в CDE, са автоматично защитени.
В дългосрочен план
Както винаги, усилията, необходими за постигане на съответствие с PCI DSS, ще бъдат значителни. Но така ще бъдат и наградите. Тук не става въпрос само за намаляване на риска от големи глоби за спазване. Става дума за изграждане на по-сигурна среда за корпоративни данни. Това ще постави организацията в добра позицияне само спрямо изискванията на Съветът за стандарти за сигурност в индустрията на разплащателните карти (PCI SSC), но и с други разпоредби като GDPR и CCPA.