Megfelelőség: 2014 a PCI DSS-ről fog szólni
A PCI DSS legújabb kiadása jövőre alapvetően fogja befolyásolni a compliance tevékenységeket, így nem csoda, hogy egyre több szakértő fejti ki véleményét a szabványról.Ahogy arról korábban már beszámoltunk a PCI DSS (PCI Data Security Standard) legújabb kiadása idén is gőzerővel készült, aminek köszönhetően mostanra elérhetővé vált a szabvány legfrissebb, 3.0-ás verziója. Ennek célja, hogy reagáljon az utóbbi időszakban megjelent fenyegetettségekre, ezért számos biztonsági területen ír elő új, a korábbiaknál szigorúbb, vagy éppen az adott szervezet kockázatkezelési stratégiájához rugalmasabban illeszthető követelményeket. Az alapkoncepció azonban változatlan maradt.
"Azok a legfontosabb alapelvek, amelyek mentén az első PCI DSS kiadásakor dolgoztunk még most is változatlanok. A 3.0-ás verzió is ezekre épül annak érdekében, hogy kezelni tudjuk a közösségünk által adott visszajelzéseket, illetve segítsük a szervezeteket abban, hogy a biztonságot a legjobb üzleti gyakorlataik részévé tehessék" - nyilatkozta Bob Russo, a PCI Security Standards Council vezetője.
A menetrend
A PCI DSS 2014. január 1-jén lép hatályba, és az arra kötelezett szervezeteknek legkésőbb 2015. január 1-jére eleget kell tenniük a szabványban foglaltaknak. Ugyanakkor az egy éves türelmi idő alól néhány pont esetében van kivétel, amelyeket 2015. június 30-ig kell teljesíteni, így ez lesz az az időpont, amelyre az összes érintett vállalatnak és intézménynek teljes körűen meg kell felelnie az új követelményeknek.
Forrás: ManageEngine
Szakértői reakciók
Kurt Hagerman, a FireHost információbiztonsági igazgatója szerint az új előírások egyértelműen több időt és pénzt fognak megkövetelni ahhoz, hogy a megfelelőséget biztosítani lehessen. Ez pedig többeket nehézségek elé állíthat. Az auditálási költségek várható emelkedése miatt az auditorokon (QSA-kon) nagyobb lesz a nyomás, és mivel az IT költségevetéseket is ki kell majd egészíteni, ezért az információbiztonsági és informatikai vezetőknek is fel kell készülniük a kiadások átgondolására. Azonban, ha mindenki megfelelően végzi a dolgát, akkor a bank- és hitelkártyák biztonsága szignifikánsan nőhet az új szabványnak köszönhetően.
"Úgy gondolom, hogy a PCI DSS v3.0 megjelenése mindenképpen pozitívan értékelhető, és hiszek abban, hogy segíteni fog a kockázatok csökkentésében" - nyilatkozta Hagerman, aki azért néhány gyenge pontot még mindig lát az előírásokban. Ezek elsősorban a virtualizáció szabályozásával hozhatók összefüggésbe. A szakember véleménye szerint a 3.0-ás kiadás ugyan foglalkozik a virtualizáció magasabb szintjeivel, de például a hypervisorok megerősítése, valamint a virtualizáció menedzsmentjének és a virtuális switchek kezelésének biztonsági kérdései nem tisztázottak elég alaposan.
Steve Hall, a Tripwire PCI megoldásokért felelős igazgatója megjegyezte, hogy a PCI DSS 3.0 új jelentéssablonokat foglal magában, de ezen a téren még jelenleg is folynak a változtatások, amik akár márciusig is eltarthatnak. Ez pedig igencsak megnehezítheti majd az auditorok dolgát, akiknek nem lesz minden esetben megfelelő iránymutatásuk a különféle ellenőrzések helyes elvégzéséhez. Hall szerint jövőre is lesznek még vitás kérdések a szabványalkotók, az auditorok, az alkalmazók, a kereskedők és a különböző szolgáltatók között.
-
Az IBM a QRadar SIEM-ben egy kritikus biztonsági hibát javított.
-
A LibreOffice-hoz egy biztonsági javítás vált elérhetővé.
-
A Google ismét súlyos sérülékenységeket szüntetett meg a Chrome böngészőben.
-
Az SAP kiadta a májusi biztonsági frissítéseit.
-
Az Adobe egy tucat sebezhetőséget orvosolt a PDF-kezelő alkalmazásai kapcsán.
-
Az Adobe Illustrator három sebezhetőség miatt kapott frissítést.
-
A VMware fontos hibajavításokat adott ki a Workstation és a Fusion megoldásaihoz.
-
Az Apple kiadta a mobil operációs rendszereinek legújabb biztonsági javításait.
-
Jelentős biztonsági frissítés érkezett a macOS operációs rendszerhez.
-
Elérhetővé váltak a Windows májusi frissítései.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.