18 lipca 2023

Co powinieneś wiedzieć o PCI DSS 4.0?

Płatności za pomocą kart płatniczych są czymś powszechnym. Nic dziwnego więc, że instytucje zajmujące się obsługą kart płatniczych dbają o bezpieczeństwo tego typu transakcji, w tym ochronę danych wrażliwych. Przechowywanie, przetwarzanie lub przesyłanie informacji dotyczących takich płatności reguluje szereg standardów bezpieczeństwa, m.in. norma Rady Standardów Bezpieczeństwa w Branży Kart Płatniczych (PCI DSS). Między innymi organizacje mają za zadanie przeprowadzać regularne skany wszystkich publicznych sieci i systemów podłączonych do internetu. Muszą one przebiegać zgodnie z określonymi procedurami oraz być wykonywane przez uprawniony podmiot skanujący. Jednym z nich jest Holm Security, który oferuje proaktywne wykrywanie i usuwanie podatności systemu poprzez automatyczne i ciągłe skanowanie. Standard ten doczekał się nowej wersji 4.0, która 31 marca 2024 r. zastąpi wycofaną wersję 3.2.1. Co się zmieni? Jak to wpłynie na firmy?

Czym jest PCI DSS?

PCI DSS, czyli Payment Card Industry Data Security Standard, to uznany na całym świecie standard bezpieczeństwa mający na celu wzmocnienie bezpieczeństwa danych kart płatniczych. Standard ten ma zastosowanie do wszystkich firm, które przechowują, przetwarzają i przesyłają dane posiadaczy kart. Składa się z 12 wymogów, podzielonych na 250 kontroli:

Wymogi zgodności z PCI DSS:

  1. Zainstalowanie i utrzymywanie bezpiecznej sieci: Obejmuje to instalację i utrzymanie zapór sieciowych w celu ochrony danych posiadaczy kart.
  2. Ochrona danych posiadaczy kart: Dane posiadaczy kart muszą być szyfrowane zarówno podczas przechowywania, jak i przesyłania.
  3. Utrzymywanie programu zarządzania podatnościami w zabezpieczeniach: Regularne skanowanie w poszukiwaniu luk w zabezpieczeniach i łatanie wszelkich podatności w systemie.
  4. Wdrożenie silnych środków kontroli dostępu: Dostęp do danych posiadaczy kart powinien być ograniczony wyłącznie do upoważnionego personelu.
  5. Regularne monitorowanie i testowanie sieci: Systemy i procesy muszą być regularnie monitorowane, aby zapewnić prawidłowe funkcjonowanie kontroli bezpieczeństwa.
  6. Prowadzenie polityki bezpieczeństwa informacji: Musi istnieć polityka bezpieczeństwa informacji, a cały personel musi być przeszkolony i świadomy swoich obowiązków w zakresie zapewnienia zgodności.
  7. Ograniczenie fizycznego dostępu do danych posiadaczy kart: Fizyczny dostęp do danych posiadaczy kart powinien być ograniczony i monitorowany.
  8. Regularne testowanie systemów i procesów bezpieczeństwa: Systemy i procesy bezpieczeństwa muszą być regularnie testowane, aby zapewnić ich skuteczność.
  9. Utrzymywanie programu ochrony danych: Upewnij się, że wrażliwe dane są zawsze chronione.
  10. Monitorowanie i testowanie kontroli bezpieczeństwa: Kontrole bezpieczeństwa powinny być stale monitorowane i testowane w celu zapewnienia ich skuteczności.
  11. Wdrożenie planu reagowania na incydenty: Należy wdrożyć plan reagowania na incydenty w celu zarządzania naruszeniami bezpieczeństwa lub innymi incydentami.
  12. Regularny przegląd i aktualizacja polityk bezpieczeństwa: Polityki bezpieczeństwa powinny być regularnie przeglądane i aktualizowane, aby zapewnić ich skuteczność w rozwiązywaniu pojawiających się zagrożeń i luk w zabezpieczeniach.

 

Co nowego w wersji 4.0?

Nowy standard PCI DSS ma wprowadzić kilka znaczących ulepszeń, mających na celu zwiększenie bezpieczeństwa i zapewnienie kompleksowego wsparcia dla organizacji. Obejmują one:

Wzmocnione bezpieczeństwo

Standard będzie wymagał zaawansowanego uwierzytelniania wieloskładnikowego i zaktualizowanych specyfikacji haseł w celu wzmocnienia środków bezpieczeństwa. Dodatkowo, zajmie się pojawiającym się cyberzagrożeniem, takim jak phishing i innymi naruszeniami cyberbezpieczeństwa, zapewniając organizacjom solidne zabezpieczenia.

Ulepszone wskazówki

Wytyczne dotyczące wdrażania kontroli cyberbezpieczeństwa zostaną zaktualizowane. Standard ten zapewni również szczegółowe procedury identyfikacji obszarów wymagających poprawy, oferując cenne spostrzeżenia audytorom i osobom oceniającym programy. Ponadto określi konkretne role i obowiązki dla każdego zaktualizowanego wymogu, promując przejrzystość i odpowiedzialność.

Elastyczne wdrażanie cyberzabezpieczeń

Zostaną wprowadzone nowe procedury przeprowadzania analiz ryzyka w celu poprawy ogólnych działań związanych z bezpieczeństwem. Co więcej, będzie on uwzględniał różne typy kont, takie jak konta współdzielone i grupowe, zapewniając jednocześnie zwiększone możliwości oceny nowszych i bardziej innowacyjnych procesów bezpieczeństwa.

Usprawnione działania w zakresie zgodności z przepisami

Norma wprowadzi ulepszenia w zakresie czynności związanych ze zgodnością, odnosząc się do zakresu działań, które organizacja może podjąć w celu wykazania zgodności. Obejmuje to wypełnianie kompleksowego raportu zgodności, angażowanie się w kwestionariusze samooceny i dostarczanie zaświadczeń o zgodności, ułatwiając w ten sposób usprawniony proces zgodności.

Większy nacisk na cyberbezpieczeństwo

Nowy standard kładzie większy nacisk na działania związane z cyberbezpieczeństwem. W szczególności zwróci większą uwagę na szyfrowanie i bezpieczeństwo sieci w celu ochrony danych kart kredytowych klientów podczas transmisji. Proaktywne podejście zapewni najwyższy poziom ochrony wrażliwych informacji.

Zwiększona częstotliwość testowania kontroli bezpieczeństwa

Organizacje będą zobowiązane do ustanowienia programu regularnych testów kontroli bezpieczeństwa w celu weryfikacji zgodności z wymaganiami v4.0. Zwiększony nacisk na testowanie będzie promował ciągłe monitorowanie i zapewni, że środki bezpieczeństwa pozostaną skuteczne i aktualne.

Nadchodzący standard PCI v4.0 stanowi znaczący krok naprzód w kierunku ulepszania środków bezpieczeństwa, zapewniając kompleksowe wytyczne, uwzględniając różne podejścia do wdrażania, usprawniając działania związane z zapewnieniem zgodności, nadając priorytet cyberbezpieczeństwu i egzekwując regularne testowanie kontroli bezpieczeństwa.

Pomocnym w spełnieniu powyższych wymogów będzie wdrożenie odpowiednich zabezpieczeń, które ograniczą wystąpienie ewentualnych ryzyk i zwiększą bezpieczeństwa sieci. Idealnym rozwiązaniem będzie nowoczesna platforma do zarządzania podatnościami. Jednym z przykładów tego narzędzia jest Holm Security. Podczas skanowaniu całej infrastruktury, program zidentyfikuje obszary, w których konieczne są aktualizacje i modyfikacje w celu dostosowania do standardu PCI DSS v4.0. Wskaże również potencjalne zagrożenia i luki w zabezpieczeniach, które mogą prowadzić do naruszeń.

Chcesz wiedzieć więcej o Holm Security? Zobacz bezpłatny webinar.

Autorem tekstu jest Joanna Świerczyńska

Patryk Ćwięczek
junior product manager Holm Security

Masz pytania?
Skontaktuj się ze mną:
cwieczek.p@dagma.pl