Döcög a PCI DSS 3.0 bevezetése

Meglehetősen ellentmondó hírek érkeznek arról, hogy miként zajlik a PCI DSS új verziójára való felkészülés és átállás. Több jel arra utal, hogy elég rosszul.
 

A PCI DSS (PCI Data Security Standard) legújabb kiadásához sok biztonsági szakértő nagy reményeket fűz, és ebből kifolyólag az év elején még arról lehetett hallani, hogy megfelelőségi (compliance) szempontból ez a szabvány fogja meghatározni az idei évet. Ezzel szemben egyes felmérések az mutatják, hogy korántsem akkora a készülődés, mint amire eredetileg számítani lehetett, pedig az óra ketyeg.
 
A PCI DSS 3.0 célja, hogy reagáljon az utóbbi időszakban megjelent fenyegetettségekre, ezért számos biztonsági területen ír elő új, a korábbiaknál szigorúbb, vagy éppen a szervezetek kockázatkezelési stratégiájához rugalmasabban illeszthető követelményeket. Az alapkoncepciója azonban változatlan maradt. "Azok a legfontosabb alapelvek, amelyek mentén az első PCI DSS kiadásakor dolgoztunk még most is változatlanok. A 3.0-ás verzió is ezekre épül annak érdekében, hogy kezelni tudjuk a közösségünk által adott visszajelzéseket, illetve segítsük a szervezeteket abban, hogy a biztonságot a legjobb üzleti gyakorlataik részévé tehessék" - nyilatkozta Bob Russo, a PCI Security Standards Council vezetője.
 
A PCI DSS 3.0 2014. január 1-jén lépett hatályba, és az arra kötelezett szervezeteknek legkésőbb 2015. január 1-jére eleget kell tenniük a szabványban foglaltaknak. Ugyanakkor az egy éves türelmi idő alól néhány pont esetében van kivétel, amelyeket 2015. június 30-ig kell teljesíteni, így ez lesz az az időpont, amire az összes érintett vállalatnak és intézménynek teljes körűen meg kell felelnie az új követelményeknek.
 
Hogy halad a felkészülés?

Az új szabvány kapcsán vannak olyan jelentések, amelyek nagyon rossz képet festenek a felkészülést illetően, és vannak olyanok, amik némileg optimistábbak. Az NTT Com Security legutóbbi felmérése szerint a megkérdezett, PCI DSS megfelelőség kapcsán érintett szervezeteknek mindössze a 30 százaléka rendelkezik tervekkel az átállással összefüggő compliance tevékenységeket illetően. Ez pedig annak fényében nem is olyan meglepő, hogy az érintett cégek, intézmények 70 százaléka még azzal sincs tisztában, hogy pontosan milyen határidőkkel kell számolni.
 
Scott Harrell, a Cisco Security Business Group alelnöke azonban nem ennyire borúlátó. Tapasztalatai szerint nagyon sok cég ismerte már meg az új szabványt, és kezdte beszerezni azokat a technológiai eszközöket, amik szükségesek a megfelelőséghez. Emellett számos szervezet jelölte már ki azokat az alkalmazottait, akik felelnek az átállásért. Ugyanakkor azt Harrell is megjegyezte, hogy a mindennapok szintjén még sok a hiányosság abból a szempontból, hogy a legtöbb szervezet kifejezetten az auditokra koncentrál, és az év több részében fellazul a védelem. Ezt támasztotta alá a Verizon egyik felmérése is, amely kimutatta, hogy az auditok között a vállatoknak mindössze a 10 százaléka rendelkezik az elvárásoknak megfelelő biztonsági szinttel.
 
A Citrix úgy látja, hogy a szervezetek túlnyomó többsége felkészült a PCI DSS 3.0-ra. "Az egyre terjedő, hitelkártyákat sújtó adatbiztonsági incidensek mindenkit elgondolkodtattak kezdve a nagyvállatoktól a kis cégeken keresztül egészen az egyéni felhasználókig. Az új DSS minimális változtatásokat hozott az elődjeihez képest, illusztrálva azt, hogy a PCI szabványok elég érettek ahhoz, hogy megvédjék a kártyaadatokat, és egyszerűvé tegyék a megfelelőséggel való lépéstartást" - nyilatkozta Kurt Roemer, a Citrix biztonsági stratégája.
 
A PCI DSS 3.0-ra való felkészülés értékelése kapcsán Torsten George, az Agiliance alelnöke is fontos észrevételt fogalmazott meg. Szerinte ugyanis nem lehet általánosítani e téren. "A kisebb és közepes méretű szervezetek lassabban alkalmazkodnak az új elvárásokhoz, miközben a nagyobb cégek már elkezdték bevezetni az új kontrollokat" - mondta a szakember. Majd hozzátette, hogy a biztonsági incidensek következtében a nagyobb vállalatok már korábban is tettek lépéseket egyebek mellett a penetrációs tesztek, az életciklusalapú biztonsági megközelítések, valamint a fenyegetettségek modellezése, kezelése terén, így most nekik valamivel egyszerűbb a dolguk. Viszont George is úgy látja, hogy a legtöbb szervezet a PCI megfelelőséget egy kipipálható ellenőrző listaként  képzeli el, és ezáltal minden a megfelelőségvezérelt biztonság irányába mutat. "Nem látunk arra utaló jeleket, hogy a PCI DSS 3.0 bármilyen előrelépést hozna a kockázatalapú megközelítéseket illetően" - vélekedett a szakember.