Ettől a hónaptól már az új verzió szerint kell készülniük az auditra a szabvány használatára kötelezett szervezeteknek. Érdemes mihamarabb átállni.

Nem hozott forradalmi újdonságokat, de néhány helyen szigorítottak a PCI DSS (Payment Card Industry Data Security Standard) hat hónapja kiadott új verziójában. A 3.1-es változatot október 31-éig lehetett használni lépett életbe, azaz a használatára kötelezett szervezeteknek már az új verzió szerint kell felkészülniük az auditokra. A változások teljes körű implementációját azonban 2018. február 1-jéig kell végrehajtani.

Forradalmi újítások nincsenek, de – mint azt a Biztonságportál összefoglalója írja – néhány pontjára érdemes odafigyelni, különösen azért, mert a beruházások tervezésére, azaz végső soron a költségekre is kihathatnak.

Szigorúbb előírások a titkosított kommunikációra

Az új verzió szigorít a titkosított kommunikációra vonatkozó követelményeken. Már a tavaly áprilisban kiadott 3.1-esben is benne volt, ám végül csak most vált kötelezővé az SSL/TLS adatátvitel legújabb protokollokra történő migrálása. A halasztás oka az volt, hogy a nagyobb szolgáltatók nem tudták időben összehangolni a különböző SSL/TLS protokollokat használó szervezetek rendszereit, és így nem tudták volna biztosítani a zökkenőmentes kommunikációt.

Szintén szigorítottak a hitelesítéseken. A távoli hozzáférések esetében a szabvány már korábban is megkövetelte a többfaktoros azonosítást, de ezt az új verzió kiterjesztette minden olyan – nem konzolos – adminisztrátori szintű elérésre, amelyek kártyaadatok tárolását, kezelését végző rendszerekhez kapcsolódik. Cél volt a mobilbiztonsági kockázatok csökkentése is, ezért az új előírások szerint az egyes azonosítási faktorok nem kötődhetnek egyazon eszközhöz. Például a telefonon generált tokeneket akkor lehet használni, ha a felhasználó az asztali vagy a hordozható számítógépéről jelentkezik be a védett rendszerbe, ám ha a telefonról, akkor már nem.

A penetrációs teszteket is sűríteni kell. A korábbi változat elég volt évente egyszer ellenőrizni, hogy a szegmentált rendszerek izolációja biztonságos. Mostantól ezt félévente el kell végezni. Ennek indoka legfőképpen az, hogy nagyon gyorsa változnak az üzleti célok, és ezt a biztonságnak is le kell kövtenie.

Az új verzió felkészülést jelent GDPR-re

A 3.2-es verzió előírásainak bevezetését nem csak a compliance teszi szükségessé. Mint arra Jeremy King, a PCI SSC igazgatója, egy nyilatkozatában utalt, a szervezeteknek már másfél évük sincs arra, hogy felkészüljenek az Európai Unió idén elfogadott adatvédelmi rendeletének (GDPR – General Data Protection Regulation) előírásaira. Az idén április végén kiadott és 2018 februártól életbe lépő rendelet (a teljes szöveg itt olvasható) részletesen szabályozza például az adatkezelés lehetőségeit, és meghatározza az adatvédelemmel, valamint az adatvédelmi hatásvizsgálatokkal szembeni követelményeket.
 

WorldPay Global Payments Report 2015
Create column charts

King szerint az erre való felkészülés ugyan újabb kihívás lesz a szervezeteknek, de szerinte a PCI DSS ebben is segít: ha egy szervezet teljes mértékben megfelel a PCI DSS 3.2-nek, az valószínűleg a GDPR előírásait is teljesíti. Az új szabványban számos olyan elem van, például a kártyabirtokosok adatainak kezelésére vagy az incidensek bejelentésére vonatkozóan, amely összhangban van az EU-s rendelettel.

A PCI DSS 3.2 változásait a PCI Security Standads Council pontról pontra külön is összefoglalta egy pdf dokumentumban, a lényegesebb változásokat pedig Troy Leach, a szervezet főmérnöke magyarázza el egy blogbejegyzésében. Az új EU-s adatvédelmi rendeletre való felkészülésről itt olvashatók tanácsok.

Biztonság

A Tesla bármelyik másik márkánál több halálos balesetben érintett

Az elmúlt években gyártott járműveket vizsgálva kiderült, hogy az amerikai utakon a Teslák az átlagosnál kétszer gyakrabban szerepelnek végzetes ütközésekben a megtett mérföldek arányában.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.