Подготовка за PCI DSS 4.0: Пет стъпки за подготовка на финансовите институции

В продължение на две десетилетия Съветът за стандарти за сигурност в индустрията на разплащателните карти PCI Security Standards Council (PCI SSC) изисква спазване на непрекъснато растящ набор от строги технически и оперативни изисквания, за да защити данните на картодържателя. PCI DSS 4.0 е най-голямата актуализация на стандарта за сигурност на данните в сектора на разплащателните карти от създаването му през 2004 г. Той се прилага за всяка организация, която приема, обработва, съхранява или предава данни за карти – което означава повечето финансови институции.
Какво трябва да приоритизират фирмите за финансови услуги, за да ускорят съответствието преди крайния срок 1 април 2025 г.?

Какво е новото в PCI DSS 4.0?

PCI DSS 4.0 е проектиран да върви в крак с времето – не е лесно постижение в свят, в който иновациите в заплахите се движат толкова бързо, колкото дигиталната трансформация на предприятието. Ето защо той въвежда серия от нови изисквания, предназначени да гарантират, че спазването на разпоредбите осигурява възможно най-добра сигурност. Всъщност банковата индустрия е основна мишена за нарушения на данните, като се има предвид огромното количество данни за карти и лична информация (PII), които съхранява. Според едно скорошно проучване секторът е бил най-пробиваният през 2023 г., изпреварвайки здравеопазването с над една четвърт (27%) регистрирани инциденти.

В този контекст някои от ключовите промени от предишната PCI DSS итерация са:

  1. По-голям набор от приемливи контроли за мрежова сигурност, които могат да се използват вместо защитни стени.
  2. Ново изискване за внедряване на многофакторно удостоверяване (MFA) за достъп до средата с данни на картодържателя (CDE)
  3. По-голяма гъвкавост при демонстриране на съответствие с целите за сигурност
  4. Нови целеви анализи на риска, предназначени да предоставят на спазващите изискванията организации повече гъвкавост по отношение на това колко често извършват определени дейности

С мисията да бъде в крак с непрекъснато променящата се индустрия на карти, технологии и заплахи, PCI DSS 4.0 е проектиран да:

  1. Осигури по-голяма гъвкавост в технологиите, които организациите могат да използват, за да постигнат съответствие.
  2. Насърчава постоянната сигурност, вместо да третира съответствието/сигурността като стремеж за отметка.
  3. Подобри методите и процедурите за валидиране.

Пет стъпки, за да започнете

Има над 50 нови изисквания в PCI DSS 4.0. Някои ще бъдат по-лесни за изпълнение от други. За да започнете, помислете за следното:

  1. Извършете оценка на готовността
    Потърсете вътрешен експерт или експерт от трета страна, който да оцени обхвата на програмата за съответствие с PCI DSS на организацията и да провери дали е правилна. Всичко, направено на този етап за намаляване на обхвата (като премахване на ненужни хардуерни/софтуерни компоненти), също ще помогне за намаляване на разходите и минимизиране на повърхността на атаката. Този първоначален процес трябва да идентифицира всички пропуски и да предостави пътна карта за съответствие.
  2. Актуализирайте програмите за обучение и осведоменост
    Много организации забравят, че критичен компонент на успеха на PCI DSS са хората. Персоналът трябва да бъде редовно информиран относно най-новите заплахи за сигурността и как да ги идентифицира и да се справя с тях. Това е така, защото всеки изминал месец заплахите измислят нови начини за компрометиране на CDE. Обученията трябва да включват симулации на атаки в реалния свят и да бъдат сравнително кратки (10-15 минути), но чести.
  3. Разработете правилните политики и процедури
    Това е може би най-важната стъпка, тъй като политиката е в основата на всяка стратегия за съответствие. Това ще изисква документиране на набор от писмени процедури, които обясняват как организацията управлява своя CDE. Включете информационната сигурност, реакцията при инциденти и информираността и обучението на потребителите като отправна точка.
  4. Бъдете подробни с технически контроли
    PCI DSS 4.0 е много подробен в необходимия технически контрол. Там също ще има някои актуализации от предишни версии, като MFA, анти-фишинг процедури, удостоверяване на вътрешно сканиране за уязвимости и мерки против електронно скимиране. Запомнете: дяволът е в детайлите.
  5. Извършвайте непрекъснат мониторинг
    PCI DSS 4.0 е свързан със сигурността като непрекъснат процес, а не като игра на съответствие в даден момент. Един от най-добрите начини да постигнете това е чрез непрекъснат мониторинг на контролите за сигурност и на CDE. Първият ще оцени и маркира всички неефективни контроли за коригиране, докато вторият ще гарантира, че всички нови данни, появяващи се в CDE, са автоматично защитени.
Платформата за сигурност на данните на comforte използва AI технология за автоматично откриване, класифициране и защита (в съответствие с правилата) на всякакви чувствителни данни, където и да се съхраняват в цялата организация – включително в облачни среди. Това е от съществено значение предвид все по-разпространения характер на банковата ИТ инфраструктура днес и строгите изисквания на PCI DSS 4.0.

В дългосрочен план

Както винаги, усилията, необходими за постигане на съответствие с PCI DSS, ще бъдат значителни. Но така ще бъдат и наградите. Тук не става въпрос само за намаляване на риска от големи глоби за спазване. Става дума за изграждане на по-сигурна среда за корпоративни данни. Това ще постави организацията в добра позицияне само спрямо изискванията на Съветът за стандарти за сигурност в индустрията на разплащателните карти (PCI SSC), но и с други разпоредби като GDPR и CCPA.

Изпрати на приятел