Nowoczesne organizacje dążą coraz bardziej do digitalizacji, co wiąże się z koniecznością zabezpieczania przetwarzanych danych. Jedną z metod zabezpieczania jest implementacja standardów stworzonych przez specjalistów. PCI DSS 4.0 (Payment Card Industry Data Security Standard) to kompleksowy zestaw dobrych praktyk stworzony w celu ochrony danych właścicieli kart płatniczych. Wspomniany standard zacznie obowiązywać w marcu 2024 r., ale już dziś przedsiębiorstwa starają się dostosować do nowych wymogów.
Nowa wersja wprowadza wiele zmian w stosunku do swoich poprzedników. Jednym z nich jest nacisk na zindywidualizowane podejście do wdrażania. Oznacza to dostosowanie procesu wdrażania do skali prowadzonej działalności. Większa ilość przetwarzanych danych wiąże się z większą ilością wymagań do spełnienia.
Nowe zmiany kładą szczególny nacisk na zarządzanie podatnościami oraz znaczenie świadomości cyberbezpieczeństwa. Jest to odpowiedz na coraz bardziej wyrafinowane i nowatorskie zagrożenia cybernetyczne.
PCI DSS w wersji 4.0 zachowuje wszystkie 12 podstawowych wymagań, lecz dodatkowo wprowadza, aż 60 nowych szczegółowych wymagań. Na szczególne uwzględnienie zasługują wytyczne dotyczące inwentaryzacji kryptograficznej oraz łagodzeniu ataków typu skimming eCommerce, te kwestie wymakają poważnego rozważenia i podjęcia stosownych działań.
Osiąganie zgodności
Dla firm chcących osiągnąć zgodność z PCI DSS 4.0 najważniejsze jest odpowiednie podejście. Oto kilka kroków które należy wziąć pod uwagę:
- Identyfikacja zakresu PCI DSS – należy zidentyfikować wszystkie systemy i procesy, które są wykorzystywane do przechowywania, przetwarzania lub przesyłania danych kart płatniczych.
- Przeprowadzenie analizy luk – porównanie stanu bieżącego systemów z wymogami PCI DSS, pomoże zidentyfikować obszary wymagające poprawy.
- Zaplanowanie procesu skanowania podatności – ponieważ położono nacisk na szybkie wykrywanie i eliminację podatności, proces wykrywania może okazać się kluczowy do uzyskania zgodności.
Kluczowe zmiany w PCI DSS 4.0
Standard w wersji 4.0 wprowadza znaczące zmiany wzmocnienia poziomu bezpieczeństwa przedsiębiorstw. Najważniejsza zmiana nastąpiła w sposobie zarządzania podatnościami. Organizacje muszą naprawić wszystkie wykryte luki, a nie tak jak do tej pory tylko te wysokiego ryzyka.
- Zabezpieczenia przeciwko phishingowi i malware zostały wzmocnione o dodatkowy wymóg skanowania nośników przenośnych, które mogą stanowić potencjalne zagrożenie
- Nałożono dodatkowy nacisk na uwierzytelnianie. Nowa wersja nakłada obowiązek stosowania uwierzytelniania dwuskładnikowego (2FA).
- Zastosowanie podejścia proaktywnego w stosunku do ataków skimmingowych jest całkiem nowe. Ma to na celu pomóc chronić organizację i jej klientów przed kradzieżą danych.
Poziomy zgodności
PCI DSS posiada określone poziomy, wskazujące jakie wymagania musi spełniać przedsiębiorstwo. Poziomy określane na podstawie ilości przetwarzanych transakcji. Dla przykładu mała firm przetwarzająca mniej niż 20.000 transakcji zostanie zakwalifikowana jako poziom 1, natomiast przetwarzanie ponad 6 milionów transakcji określa już poziom 4. Przy wdrażaniu standardu PCI DSS ważne jest określenie jakie wymogi należy spełnić w przypadku określonego przedsiębiorstwa i jakie zabezpieczenia będą potrzebne do osiągnięcia celu.
Implementacja
Gdy weźmiemy po uwagę implementację PCI DSS 4.0, przyjęcie podejścia proaktywnego jest kluczowe. Przy wdrażaniu standardu PCI DSS organizacja może wykorzystać kwestionariusze na potrzeby audytu CDE, co pomaga w dobraniu odpowiednich procedur. Wewnętrzne audyty są nie tylko istotną częścią utrzymania zgodności, ale pomagają również uniknąć kar. Utrzymanie zgodności jest bardzo istotne, dlatego należy regularnie przeprowadzać skanowanie pod kątem luk w zabezpieczeniach, pomaga to wzmocnić ogólne ramy cyberbezpieczeństwa w przedsiębiorstwie. W celu zapewnienia należy być na bieżąco ze zmianami wymagań, standard PCI DSS jest standardem dynamicznym należy być na bieżąco z aktualizacjami. Wdrożenie nie jest czynnością typu zrób i zapomnij. Zapewnienie bezpieczeństwa środowiska danych posiadaczy kart wymaga ciągłej uwagi, zaangażowania i doskonalenia. Zgodność ze standardem PCI DSS 4.0 nie jest opcją, ale koniecznością dla firm obsługujących płatności kartami płatniczymi, pozwoli on nie tylko uniknąć wysokich kar ale również zbudować zaufanie klientów.
Jednak zapewnienie zgodności w naszym przedsiębiorstwie często może nie wystarczyć, dlatego PCI DSS 4.0 kładzie nacisk na odpowiedzialność dostawcy usług. Firmy muszą upewnić się, że ich zewnętrzni dostawcy jak na przykład podmioty przetwarzające płatności i dostawcy usług chmurowych, również spełniają wymogi PCI DSS 4.0. Warto przeprowadzać regularne audyty zgodności oraz zawrzeć stosowne zapisy w podpisywanych umowach.
Ważne jest szybkie planowanie strategii wdrożenia. Należy zwrócić uwagę na przeprowadzenie dokładnych ocen bezpieczeństwa, inwestowanie w zabezpieczenia oraz szkolenie pracowników z zasad bezpieczeństwa. Opracowanie solidnych planów reagowania na incydenty i przeprowadzanie regularnych audytów może okazać się niezbędne.
Wdrożenie standardu PCI DSS 4.0 to nie tylko unikanie kar, to przede wszystkim zwiększanie poziomu bezpieczeństwa, a co za tym idzie budowanie zaufania klientów.
Autor: Paweł Gniewosz