Megfelelőség: 2014 a PCI DSS-ről fog szólni

A PCI DSS legújabb kiadása jövőre alapvetően fogja befolyásolni a compliance tevékenységeket, így nem csoda, hogy egyre több szakértő fejti ki véleményét a szabványról.
 

Ahogy arról korábban már beszámoltunk a PCI DSS (PCI Data Security Standard) legújabb kiadása idén is gőzerővel készült, aminek köszönhetően mostanra elérhetővé vált a szabvány legfrissebb, 3.0-ás verziója. Ennek célja, hogy reagáljon az utóbbi időszakban megjelent fenyegetettségekre, ezért számos biztonsági területen ír elő új, a korábbiaknál szigorúbb, vagy éppen az adott szervezet kockázatkezelési stratégiájához rugalmasabban illeszthető követelményeket. Az alapkoncepció azonban változatlan maradt.

"Azok a legfontosabb alapelvek, amelyek mentén az első PCI DSS kiadásakor dolgoztunk még most is változatlanok. A 3.0-ás verzió is ezekre épül annak érdekében, hogy kezelni tudjuk a közösségünk által adott visszajelzéseket, illetve segítsük a szervezeteket abban, hogy a biztonságot a legjobb üzleti gyakorlataik részévé tehessék" - nyilatkozta Bob Russo, a PCI Security Standards Council vezetője.

A menetrend

A PCI DSS 2014. január 1-jén lép hatályba, és az arra kötelezett szervezeteknek legkésőbb 2015. január 1-jére eleget kell tenniük a szabványban foglaltaknak. Ugyanakkor az egy éves türelmi idő alól néhány pont esetében van kivétel, amelyeket 2015. június 30-ig kell teljesíteni, így ez lesz az az időpont, amelyre az összes érintett vállalatnak és intézménynek teljes körűen meg kell felelnie az új követelményeknek.

Szakértői reakciók

Kurt Hagerman, a FireHost információbiztonsági igazgatója szerint az új előírások egyértelműen több időt és pénzt fognak megkövetelni ahhoz, hogy a megfelelőséget biztosítani lehessen. Ez pedig többeket nehézségek elé állíthat. Az auditálási költségek várható emelkedése miatt az auditorokon (QSA-kon) nagyobb lesz a nyomás, és mivel az IT költségevetéseket is ki kell majd egészíteni, ezért az információbiztonsági és informatikai vezetőknek is fel kell készülniük a kiadások átgondolására. Azonban, ha mindenki megfelelően végzi a dolgát, akkor a bank- és hitelkártyák biztonsága szignifikánsan nőhet az új szabványnak köszönhetően.

"Úgy gondolom, hogy a PCI DSS v3.0 megjelenése mindenképpen pozitívan értékelhető, és hiszek abban, hogy segíteni fog a kockázatok csökkentésében" - nyilatkozta Hagerman, aki azért néhány gyenge pontot még mindig lát az előírásokban. Ezek elsősorban a virtualizáció szabályozásával hozhatók összefüggésbe. A szakember véleménye szerint a 3.0-ás kiadás ugyan foglalkozik a virtualizáció magasabb szintjeivel, de például a hypervisorok megerősítése, valamint a virtualizáció menedzsmentjének és a virtuális switchek kezelésének biztonsági kérdései nem tisztázottak elég alaposan.

Steve Hall, a Tripwire PCI megoldásokért felelős igazgatója megjegyezte, hogy a PCI DSS 3.0 új jelentéssablonokat foglal magában, de ezen a téren még jelenleg is folynak a változtatások, amik akár márciusig is eltarthatnak. Ez pedig igencsak megnehezítheti majd az auditorok dolgát, akiknek nem lesz minden esetben megfelelő iránymutatásuk a különféle ellenőrzések helyes elvégzéséhez. Hall szerint jövőre is lesznek még vitás kérdések a szabványalkotók, az auditorok, az alkalmazók, a kereskedők és a különböző szolgáltatók között.