Még szigorúbb lett a PCI DSS

Életbe lépett a PCI DSS legújabb verziója, amely elsősorban a titkosított kommunikáció és az authentikáció terén hoz szigorításokat.
 

A PCI DSS 3.1 október 1-jén "nyugdíjba vonult", és helyébe a hat hónappal ezelőtt kiadott PCI DSS 3.2 lépett. Mostantól ez lesz a mérvadó előírás az arra kötelezett szervezetek számára. A szabvány új verziója az eddigi alapokra épít, nagy strukturális változásokkal nem szolgál. Ugyanakkor van néhány pontja, amelyek mindenképpen figyelmet érdemelnek, és azokat már most célszerű figyelembe venni az auditokra történő felkészülések során. Különösen azért, mert a beruházások tervezésére, és ilyen módon a költségvetésekre is hatással lehetnek.

Az első lényegesebb újdonság a tiktosított kommunikáció biztonságát illetően támaszt szigorúbb elvárásokat. Már a 3.1-es kiadásban is megjelent az SSL/TLS adatátvitel legújabb protokollokra történő migrálásának szükségessége. Azonban ennek bevezetését végül elnapolták, mivel a nagyobb szolgáltatók nem tudták időben összehangolni a különböző SSL/TLS protokollokat használó szervezetek rendszereit, és ezért nem tudták volna biztosítani a zökkenőmentes kommunikációt. A 3.2-es PCI DSS azonban már nem ilyen engedékeny: muszáj nekilátni az átálláshoz.

Egy másik fontos változás a hitelesítéseket érinti. Noha a PCI DSS a távoli hozzáférések vonatkozásában eddig is megkövetelte a többfaktoros authentikációt, a jövőben ezt ki kell terjeszteni minden olyan (nem konzolos) adminisztrátori szintű elérésre, amelyek kártyadatok tárolását, kezelését végző rendszerekhez kapcsolódnak. Arra is fel kell készülni, hogy az egyes faktorok nem kötődhetnek egyazon eszközhöz, amivel a szabvány alkotói a mobilbiztonsági kockázatokat akarják csökkenteni. Ez nem jelenti azt, hogy a telefonokra érkező vagy az azokon generált tokenek nem lesznek használhatók például abban az esetben, ha a felhasználó az asztali vagy a hordozható számítógépéről akar bejelentkezni a védett rendszerbe.

A harmadik kiemelt újdonságnak a penetrációs tesztekkel összefüggő elvárások számítanak. Eddig a PCI DSS megfelelőséghez évente legalább egyszer igazolni kellett azt, hogy a szegmentált rendszerek izolációja valóban biztonságos. Mostantól féléves ellenőrzésekre lesz szükség, így a penetrációs vizsgálatok szerepe még inkább fel fog értékelődni.

PCI DSS vs. GDPR 

Jeremy King, a PCI SSC igazgatója a 3.2-es verzió életbe lépése kapcsán külön kitért a 2018 februártól élesedő, európai előírásokra is, azaz a EU idén elfogadott adatvédelmi (GDPR - General Data Protection Regulation) rendeletére. 

"Az emberek azzal a kérdéssel fordulnak hozzám, hogy vajon miként tudják teljesíteni a GDPR követelményeket. Erre én azt felelem, hogy kezdjék a PCI DSS-sel. Azok a vállalatok, amelyek teljes mértékben és sikeresen megfelelnek a PCI DSS 3.2 kívánalmainak, nagy valószínűséggel teljes körűen meg fognak felelni a GDPR előírásainak is" - nyilatkozta King. 
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség