A küszöbön toporog az új PCI DSS szabvány

Elkészült a PCI DSS 3.0 előzetes verziója, amely számos védelmi terület kapcsán fogalmaz meg eddigieknél szigorúbb előírásokat a szervezetek számára. Egyben pedig reagál is az új kockázati tényezőkre, fenyegetettségekre.
 

A folyamatosan megújuló fenyegetettségekkel, támadási módszerekkel nem kizárólag a védelmi technológiáknak kell tartaniuk a lépést, hanem az adminisztratív biztonságnak is. A különféle megfelelőségi követelményeknek, szabványoknak, előírásoknak éppúgy helyt kell állniuk a változó világunkban, mint például az antivírus és határvédelmi megoldásoknak. Jól tudják ezt a PCI DSS (Payment Card Industry Data Security Standard) szabvány megalkotói is, hiszen az elmúlt időszakban folyamatosan azon dolgoztak, hogy a PCI DSS legújabb, 3.0-ás kiadásával hatékonyabban lehessen csökkenteni, illetve kezelni a kockázatokat.

A PCI DSS 3.0 újdonságai számos védelmi területet érintenek. A szabvány készítésében résztvevő szakemberek kiemelt figyelmet szenteltek a felhasználói oktatásokkal, és ilyen módon a biztonságtudatosság fokozásával kapcsolatos előírások kidolgozására. Fontos céljuk volt, hogy szabályozás útján segítsék elő a gyenge jelszavakból és a nem megfelelő hitelesítésekből eredő incidensek megelőzését. Lényegesnek tartották a külső cégekkel kapcsolatos biztonsági kockázatok kezelését, és a kártékony programok, illetve az egyéb fenyegetettségek gyorsabb felismerését, valamint az azokra történő hatékonyabb reagálást. Mindezek mellett az új szabvány a sebezhetőségi tesztek, valamint a szoftverek fejlesztésének biztonsági követelményeit is pontosabban definiálja, miközben előtérbe helyezi az életciklus-alapú modelleket (SDLC - Software Development Lifecycle Security).

Jó az irány

Philip Lieberman, a Lieberman Software elnök-vezérigazgatója szerint az új PCI szabvány némileg elmozdította a fókuszt a megfelelőségről egy olyan cél irányába, amelynek valóban az első helyen kell szerepelnie. Ennek köszönhetően a biztonság és azon folyamatok kerültek középpontba, amik révén a folyamatos megfelelőség fenntarthatóvá válhat. A szakember úgy látja, hogy a szabvány megalkotói pontosan felismerték azt, hogy napjainkban a határvédelem sokszor sérül, és a külső támadók gyakran tudnak hitelkártyaszámokhoz hozzáférést szerezni. Mivel a határokban nem lehet maradéktalanul megbízni, ezért az egyetlen valós kockázatcsökkentő megoldást azok az állandó, belső kontrollok jelentik, amelyek kiterjednek a humán és a technológiai biztonságra is.

"A PCI DSS 3.0 egy olyan keretrendszert fog biztosítani a szervezetek számára, aminek segítségével különféle technológiák, valamint platformok bevonásával kezelhetik a kockázatokat, és a felállított kontrollokat rugalmasan alkalmazhatják az egyedi fizetési és üzleti környezetüknek megfelelően, beleértve az elektronikus kereskedelmet, a mobil fizetést és a cloud computingot is" - nyilatkozta Troy Leach, a PCI SSC műszaki igazgatója.

A jövő

A jelenlegi tervek szerint a PCI DSS 3.0 november 7-én jelenik meg. A szabvány 2014. január 1-jén kezdi meg a pályafutását, és az átállásra egy év áll majd rendelkezésre. 2014. december 31-ig a PCI DSS 2.0 is használható marad.