PCI DSS v4.0: שנה מאוחר יותר ושנתיים עד לעמידה בדרישות

מאת דן רייווד • 5 אפריל 2023

שנה מאז הצגת PCI DSS v4.0 ושנתיים קרוב יותר לתאריך היעד לעמידה בדרישות, כיצד אומצה הגרסה החדשה הזו, ומה המשמעות של המפגש בין אבטחה ותאימות? דן רייווד בוחן את הדרישות החדשות.

בסוף מרץ 2022 הוצגה גרסה חדשה של תקן אבטחת המידע של תעשיית כרטיסי התשלום (PCI DSS) שעשתה כמה ניסיונות לעמוד בקצב של טכניקות התקפות סייבר מודרניות ובסופו של דבר למנוע את הצלחתן.

החלפת גרסה 3.2.1, גרסה 4.0 שוחררה ב-31 במרץ 2022, והמועד האחרון לעמידה בדרישות הוא 31 במרץ 2025. בינתיים, גרסה 3.2.1 הופסקה ב-31 במרץ 2024, כך שעסק עדיין יכול להיבדק בגרסה זו עד לאותו זמן. תַאֲרִיך.

תואר כ"מגיב יותר לאופי הדינמי של תשלומים וסביבת האיום" על ידי המועצה לתקני אבטחה של PCI (SSC), הכוונה הייתה "לחזק את עקרונות האבטחה המרכזיים תוך מתן גמישות רבה יותר כדי לאפשר יישומי טכנולוגיה מגוונים בצורה טובה יותר".

בסופו של דבר, ארבע המטרות העיקריות היו: להמשיך לענות על צורכי האבטחה של תעשיית התשלומים, לקדם את האבטחה כתהליך מתמשך, להוסיף גמישות למתודולוגיות שונות ולשפר את שיטות האימות.

למעשה, האבטחה הייתה קריטית לפיתוח שלה, שכן בין הדרישות החדשות הורחבו דרישות אימות רב-גורמי, דרישות סיסמה מעודכנות ודרישות חדשות להדרכה דיוג.

שנה לאחר השקת התקן החדש הזה, עד כמה התקבל התקן החדש? פודקאסט אחד תיאר זאת כהתפתחות משמעותית, שכן התקן היה סטטי יחסית במשך עשר שנים, כאשר השינוי הקטן האחרון היה לפני חמש שנים. "במקביל לשינוי הזה, העולם ועולמות אבטחת הסייבר השתנו, ובמיוחד עם המעבר לענן".

ג'ייסון וואליס, יועץ ראשי ו-QSA ב-One Compliance Cyber, הודה שהשינוי מ-3.2.1 ל-4.0 היה משמעותי ו"יהיה מעט מכביד" עבור חלק מהעסקים, במיוחד בעדכון מדיניות, נהלים ותהליכים. ובכל זאת, במציאות, אין יותר מדי מה שחברה תצטרך לעשות.

"נוספו דרישות חדשות כי PCI SSC לקח בחשבון את האיומים הנוכחיים שהופיעו", הוא אומר. "כל יום מתגלות התקפות חדשות היכן שהאקרים נכנסים לעסקים, וככל שהאיומים הללו מתגברים ואיומים חדשים מגיעים, הסטנדרטים להגנה על חברות צריכים להתקדם עם האיומים החדשים".

איום אחד מסוים הוא הרחפת קלפים. וואליס מתייחס לתקרית בריטיש איירווייס משנת 2018, שהשפיעה על 380,000 לקוחות, ואמרה שהדבר טופל בדרישות חדשות. המשמעות כעת היא שהעסק צריך לדעת במדויק אילו סקריפטים מוצגים בדפדפנים של הלקוחות שלו, ובמקרים מסוימים, צריך להוסיף טכנולוגיית זיהוי שינויים שתתריע על כל שינוי בכל תצורה בדף התשלום שלהם.

באומרו שהדרישה החדשה באה בעקבות משוב על איומים חדשים, וואליס אומר שסוג זה של התקפת 'אדם באמצע' מתאפשר לעתים קרובות על ידי אישורי סיסמה חלשים או בקרת גישה, והיא "יכולה להיות בלתי מזוהה ויכולה להימשך הרבה מאוד חודשים", הוא אומר.

"הסוחר לפעמים אפילו לא מזהה את זה בעצמו בכלל, וזה לא עד שהבנק הרוכש מודיע להם 'יש לנו הרבה לקוחות שאומרים שהם נפרצו או אומרים שגנבו להם פרטי כרטיס'. ” לדבריו, בדיקה אקטיבית של סקריפטים שרצים בדף תשלום בכל עת או שימוש בתוכנה כלשהי לזיהוי שינויים אמורה להוריד את הסיכון שמישהו יגיע מלכתחילה.

"קודם כל, אתה מגדיל את דרישות בקרת הגישה כדי להקשות עליהם להשיג את זה, ואז אם הם אכן נכנסו, יש לך דרישה נוספת שמגדילה את הסיכוי שזה יתגלה מוקדם יותר."

להחדרה של סביבות ענן וסביבות היברידיות בפרקטיקות IT כלליות, במיוחד עם הצגתן של AWS, Azure ו-Google Cloud, יש שיקול של התאימות שלהן כמו גם שלך. וואליס אמר שיש רמות של תאימות בתוך הפלטפורמות האלה, ו-Google Cloud יעמוד בדרישות מסוימות בשמך בעוד שדרישות אחרות משותפות, ולחלק אחרות, הסוחר אחראי להן.

סיימון טרנר, מנהל בכיר של ISSCA Consultancy Services ו-ISA ב-BT, אומר שגורם הענן הוא אחד מתחומי ההתמקדות המשמעותיים של גרסה 4.0 שכן "גרסה 3 הייתה נוראית למיפוי לענן וכי "QSAs תלויים במומחיות טכנית, גרסה 4.0 בהחלט ממופה לכיוון טכנולוגיות ענן כעת."

האם הצגת גרסה 4.0 הייתה דבר חיובי? טרנר אומר במונחים של תועלת לענף; אז זה בהחלט משתלם. "מבחינת QSAs ואנשי אבטחה, אז זה צעד בכיוון הנכון: חלק מאנשי אבטחה עשויים לומר שזה לא מגיע מספיק רחוק, אבל מה שאנשים צריכים להבין זה שהעסק צריך לפעול וצריך לקבל תשלומים. כדי לפעול."

עבור אותם עסקים שצריכים רק למלא שאלוני הערכה עצמית, ככל הנראה הדרישות לסיוע נוסף כדי להשיג ציות יופחתו. עם זאת, צפוי להיות ביקוש מוגבר ל-QSAs מאותם עסקים ברמה אחת שמעבדים מיליוני עסקאות.

טרנר אומר שחלק מהעסקים מצייתים ל-PCI DSS מכיוון ש"זהו דבר חוזי, בעוד שחלק מהישויות הגדולות מחויבות ב-100% להגן על המותג". זה המקום שבו יש צורך בעמידה עקבית, והבטחה שאתה מתאים ל-ISO 27001 היא צעד חיוני בכיוון זה כדי להבטיח שאתה עושה דברים נכון.

בעוד ששני התקנים מתמקדים בבקרה טכנית וארגונית, PCI DSS אומר לך מה הוא מצפה לראות במונחים חד משמעיים. לעומת זאת, ISO 27001 מאפשר לארגונים לקבוע כיצד תיראה הפקודה הרלוונטית לתיאבון הסיכון.

ישנה אינדיקציה ברורה שאמצעי אבטחה חיוניים במיוחד לגרסה החדשה הזו ושה-SSC שוקל התקפות עתידיות וכיצד להתגונן מפניהן בצורה הטובה ביותר. האם זה מהווה צעד לאבטחה המאפשר תאימות? זה עשוי להיות צעד קדימה, שכן עמידה בדרישות אלו כרוכה בכמה רמות אבטחה.

גלה את יתרון התאימות שלך עוד היום

אם אתה רוצה להתחיל את המסע שלך לתאימות PCI DSS, אנחנו יכולים לעזור.

דבר עם מומחה

דן רייווד

דן רייווד כתב על אבטחת IT מאז 2008, והוא אנליסט לשעבר ב-451 Research Practice. הוא דיבר בתערוכות כולל 44CON, SecuriTay, SteelCon, Irisscon ו-Infosecurity Europe, וכן כתב עבור מספר בלוגים של ספקים והציג בשידורי אינטרנט.