שינויים עתידיים בתקן אבטחת הנתונים של תעשיית כרטיסי התשלום (PCI-DSS) יציבו דרישות אבטחה מחמירות יותר על כל העסקים המטפלים בנתוני בעל הכרטיס.

PCI DSS נדרשת ציות לכל הסוחרים המקבלים תשלומים בכרטיס אשראי. כל הסוחרים צריכים לעמוד ברמות אבטחה מינימליות כאשר הם מאחסנים, מעבדים ומשדרים נתונים של בעל הכרטיס. ארגונים המטפלים בנפח גדול יותר של עסקאות כפופים לדרישות מחמירות יותר, לרבות דרישה לביקורות אבטחה חיצוניות.

המועצה לתקני האבטחה של תעשיית כרטיסי התשלום (PCI SSC) מנהלת את התקן, ומותגי כרטיסי האשראי הגדולים, כולל ויזה ומסטרקארד, מחייבים את השימוש בו.

עדכון משמעותי של התקן, PCI-DSS v4, שואפת לתת מענה לאיומים המתעוררים ולצורכי האבטחה המתפתחים של תעשיית התשלומים. התקן מספק קו בסיס של דרישות טכניות ותפעוליות שנועדו ביחד להגן על נתוני החשבון.

PCI-DSS v4 מגיע

PCI DSS v4.0 מורכב מ-12 דרישות המאורגנות בשש קטגוריות, כולל:

  • התמקדות מוגברת באבטחה כתהליך מתמשך
  • גמישות רבה יותר באופן שבו ארגונים יכולים להשיג את יעדי האבטחה שלהם
  • דרישות חדשות לספקי שירותים, כולל שימוש באימות רב-גורמי והטמעה של ארכיטקטורת אמון אפס
  • דרישות מתוקנות לפיתוח תוכנה, כולל שיטות קידוד מאובטחות ושימוש בכלים אוטומטיים לסריקת פגיעות ובדיקות חדירה
  • כללים מחמירים יותר לניהול סיסמאות, כולל שימוש בביטויי סיסמה ואיסור על סוגים מסוימים של סיסמאות
  • עידוד הצפנה שיטתית ויעילה יותר, כולל תמיכה בהכנסת הצפנה בטוחה לקוונטית

 

12 הפקדים בתוך PCI DSS 4.0 דומים בעיקר לגרסה 3.2.1. PCI DSS v3.2.1 מופחת מכיוון שהוא לא הצליח לעמוד בקצב הן עם השינויים בתעשייה והן עם טקטיקות פושעי הסייבר.

בעוד שגרסאות קודמות של המסגרת היו מחייבות (פרוס חומות אש, החלת בקרות אנטי-וירוס וכו'), PCI DSS 4.0 מיועד לתמוך במאמצים מקיפים יותר של ארגונים לשיפור בשלות האבטחה שלהם.

למרות שחלק מהשינויים הם אבולוציוניים - כמו שינוי הדרישה לתוכנת אנטי-וירוס לפתרון נגד תוכנות זדוניות או שינוי דרישות הרשת כדי לשקף את ההבדל בין ארכיטקטורת ענן לרשת פיזית - אחרים מהותיים יותר. לדוגמה, ארגונים חייבים לפרוס אימות רב-גורמי כדי לגשת לסביבת הנתונים של בעל הכרטיס.

זיהוי האיום המוגבר של התקפות שרשרת האספקה, סוחרי מסחר אלקטרוני יתבקשו גם לשמור על מלאי תוכנה, כולל ספריות ורכיבים. בנוסף, המסגרת דורשת הגנה מפני התקפות רחיפה של מסחר אלקטרוני על ידי ניהול וזיהוי אקטיבי של שינויים ב-JavaScript בעמוד התשלום.

PCI-DSS v4 גם שם דגש על חינוך עובדים לגבי סיכוני אבטחה ושיטות עבודה מומלצות.

לוק דאש, מנכ"ל ISMS.online, הגיב: "תאימות PCI היא לא רק תיבה לסמן; זו מחויבות ללקוחות שלך - הבטחה לאבטחה, שקיפות וקשרים עסקיים מתמשכים".

ג'וזף קרסון, מדען אבטחה ראשי ו-CISO מייעץ בדלינה, הוסיף: "PCI-DSS v4 העלה את הרף תקנים לאבטחת סייבר בתעשיית כרטיסי התשלום, כבר לא רק תיבת סימון, אלא תוכנית אבטחת סייבר מתמשכת.

קרסון המשיך: "בקרות קפדניות הקשורות לאבטחת גישה, לרבות אימות רב-גורמי, אבטחת גישה מועדפת, אבטחת סיסמאות ותקנים משופרים עבור פישינג, מרמזות שביקורת ה-PCI הקרובה תהיה גדולה יותר מכל ביקורת קודמת. ככל הנראה יידרש הרבה יותר הכנה ומשאבים כדי להבטיח שהדרישות מתקיימות."

מועד אחרון לתאימות PCI-DSS v4

לארגונים יש עד 31 במרץ 2024 מעבר מ-PCI DSS v3.2.1 ל-v4.0 - עם תאריך יעד של 18 חודשים להשגת תאימות מלאה עד מרץ 2025.

As שדווח בעבר, הגרסה החדשה של התקן שמה דגש מוגבר על אבטחת יישומי תשלום מסחר אלקטרוני, הגנה מפני התקפות בסגנון Magecart ויישום שיטות קידוד מאובטחות.

המיקוד של המסגרת המתוקנת הוא בשמירה על עסקאות ובניית אמון.

ג'ון אליוט, יועץ אבטחה בספק כלי האבטחה Jscrambler, אמר: "האתגר העיקרי יהיה יישום 51 הדרישות החדשות שיכנסו לתוקף באפריל 2025. חלק מהן עשויות לדרוש שינוי בתהליכים עסקיים וידרשו רכישת טכנולוגיה חדשה או פתרונות.

"חלקם - כמו MFA [אימות רב-גורמי] לכל גישה - אולי כבר יישמתם כחלק משדרוגי האבטחה של BAU [עסקים כרגיל], אבל אחרים, כמו הדרישות הספציפיות להפסקת התקפות רפרוף של מסחר אלקטרוני, יידרשו זמן וטכנולוגיה כדי לספק", הוסיף אליוט.

ריצ'רד אורנג', סמנכ"ל EMEA של Exabeam, הוסיף: "התקן המעודכן מדגיש פילוח רשת יעיל. זה מעודד עסקים ליישם אמצעי בידוד כדי למנוע פשרה של נתונים רגישים ולהיות בעלי גישה אפס אמון לאבטחת רשת. חברות חייבות לציית להנחיות קידוד מאובטח, לבצע סקירות קוד וסריקות פגיעות קבועות ולהבטיח תצורת אפליקציה מאובטחת".

ניהול פרויקטים של תאימות PCI

הכנה יזומה של PCI-DSS v4 תאפשר לעסקים מספיק זמן לפתור בעיות פוטנציאליות - תוך מניעת הצורך בתיקוני חירום יקרים של הרגע האחרון.

Dash של ISMS.online הגיב: "הכנה מוקדמת של PCI-DSS v4 מאפשרת הטמעה מדורגת, פיזור עלויות והפחתת שיבושים תפעוליים."

אורנג' של Exabeam הגיב: "עסקים קטנים עשויים למצוא את זה מאתגר לעמוד בדרישות המחמירות יותר של PCI-DSS v4. ההתמקדות המוגברת בהצפנה, פילוח רשתות ואימות רב-גורמי (MFA) עשויה לדרוש השקעות נוספות במשאבים ובטכנולוגיה, מה שעלול להלחיץ ​​את התקציבים, במיוחד עבור חברות שכבר נאלצו להדק את החגורה מאז המגיפה.

"לעומת זאת, לעסקים גדולים יותר עם אמצעי אבטחה חזקים עשוי להיות קל יותר להסתגל לשינויים החדשים", הוסיף.

למרות האתגרים הללו, "עמידה ב-PCI-DSS v4 יכולה לשפר את עמדת האבטחה הכוללת ולהפחית את הסיכון של פרצות נתונים, מה שמוביל להפסדים כספיים, נזק למוניטין ולחבויות משפטיות", סיכם אורנג' של Exabeam.

יישום התקן יכול גם לשפר את האמון והביטחון של הלקוחות, ולהפגין מחויבות להגנה על מידע רגיש של בעל הכרטיס.

דוני מקקול, מנהל בכיר, תמיכה טכנית ו-DPO, Fortra, ספקית אבטחת סייבר, הסביר שהשינויים שיגיעו עם PCI DSS v4 לא ישפיעו על כל העסקים באותה צורה.

"ישנן ארבע רמות ברורות של ציות הנדרשות על ידי ארגונים בודדים, המבוססות על נפח העסקאות על פני תקופה של 12 חודשים", אמר MacColl ל-ISMS.online.

לדוגמה, ארגונים ברמת ציות נמוכה יותר (רמות 2 - 4) אינם זקוקים לביקורת חיצונית, אלא יכולים למלא שאלון הערכה עצמית במקום זאת. לעומת זאת, אם עסק מעבד יותר משישה מיליון עסקאות בכרטיס בשנה, עליו להוכיח תאימות ברמה 1, תהליך הכולל ביקורת חיצונית המבוצעת על ידי מעריך אבטחה מוסמך.

MacColl סיכם: "ללא קשר לגודל הארגון, מעבר יעיל ל-PCI DSS 4.0 מצריך גישה שגורמת לשינויים טכניים ותרבותיים. זה לא סוג של מאמץ חד-פעמי. זה ידרוש גישה מדורגת לאורך זמן".