Még szigorúbb lett a PCI DSS

Életbe lépett a PCI DSS legújabb verziója, amely elsősorban a titkosított kommunikáció és az authentikáció terén hoz szigorításokat.
 

A PCI DSS 3.1 október 1-jén "nyugdíjba vonult", és helyébe a hat hónappal ezelőtt kiadott PCI DSS 3.2 lépett. Mostantól ez lesz a mérvadó előírás az arra kötelezett szervezetek számára. A szabvány új verziója az eddigi alapokra épít, nagy strukturális változásokkal nem szolgál. Ugyanakkor van néhány pontja, amelyek mindenképpen figyelmet érdemelnek, és azokat már most célszerű figyelembe venni az auditokra történő felkészülések során. Különösen azért, mert a beruházások tervezésére, és ilyen módon a költségvetésekre is hatással lehetnek.

Az első lényegesebb újdonság a tiktosított kommunikáció biztonságát illetően támaszt szigorúbb elvárásokat. Már a 3.1-es kiadásban is megjelent az SSL/TLS adatátvitel legújabb protokollokra történő migrálásának szükségessége. Azonban ennek bevezetését végül elnapolták, mivel a nagyobb szolgáltatók nem tudták időben összehangolni a különböző SSL/TLS protokollokat használó szervezetek rendszereit, és ezért nem tudták volna biztosítani a zökkenőmentes kommunikációt. A 3.2-es PCI DSS azonban már nem ilyen engedékeny: muszáj nekilátni az átálláshoz.

Egy másik fontos változás a hitelesítéseket érinti. Noha a PCI DSS a távoli hozzáférések vonatkozásában eddig is megkövetelte a többfaktoros authentikációt, a jövőben ezt ki kell terjeszteni minden olyan (nem konzolos) adminisztrátori szintű elérésre, amelyek kártyadatok tárolását, kezelését végző rendszerekhez kapcsolódnak. Arra is fel kell készülni, hogy az egyes faktorok nem kötődhetnek egyazon eszközhöz, amivel a szabvány alkotói a mobilbiztonsági kockázatokat akarják csökkenteni. Ez nem jelenti azt, hogy a telefonokra érkező vagy az azokon generált tokenek nem lesznek használhatók például abban az esetben, ha a felhasználó az asztali vagy a hordozható számítógépéről akar bejelentkezni a védett rendszerbe.

A harmadik kiemelt újdonságnak a penetrációs tesztekkel összefüggő elvárások számítanak. Eddig a PCI DSS megfelelőséghez évente legalább egyszer igazolni kellett azt, hogy a szegmentált rendszerek izolációja valóban biztonságos. Mostantól féléves ellenőrzésekre lesz szükség, így a penetrációs vizsgálatok szerepe még inkább fel fog értékelődni.

PCI DSS vs. GDPR 

Jeremy King, a PCI SSC igazgatója a 3.2-es verzió életbe lépése kapcsán külön kitért a 2018 februártól élesedő, európai előírásokra is, azaz a EU idén elfogadott adatvédelmi (GDPR - General Data Protection Regulation) rendeletére. 

"Az emberek azzal a kérdéssel fordulnak hozzám, hogy vajon miként tudják teljesíteni a GDPR követelményeket. Erre én azt felelem, hogy kezdjék a PCI DSS-sel. Azok a vállalatok, amelyek teljes mértékben és sikeresen megfelelnek a PCI DSS 3.2 kívánalmainak, nagy valószínűséggel teljes körűen meg fognak felelni a GDPR előírásainak is" - nyilatkozta King.