Elkészült a PCI DSS (Payment Card Industry Data Security Standard) legújabb kiadása. A 3.0-s verzió már az utóbbi időszakban megjelent fenyegetettségekre is választ próbál adni, ezért számos biztonsági területen ír elő új, a korábbiaknál szigorúbb, vagy éppen az adott szervezet kockázatkezelési stratégiájához rugalmasabban illeszthető követelményeket. (Az új szabványhoz kapcsolódó dokumentumok letölthetők a PCI Security Standards Council oldaláról.)

A szabvány új verziójában kiemelt figyelmet szenteltek például a felhasználók oktatására és a biztonságtudatosság fokozásával kapcsolatos előírások kidolgozására. Szabályozással segítenék elő a gyenge jelszavakból és a nem megfelelő hitelesítésekből eredő incidensek megelőzését. Szintén fontos elem lett a külső cégekkel kapcsolatos biztonsági kockázatok kezelése, valamint a kártékony programok, illetve az egyéb fenyegetettségek gyorsabb felismerése, az azokra történő hatékony reagálás. Emellett az új szabvány pontosabban definiálja a sebezhetőségi teszteket, a szoftverek fejlesztésének biztonsági követelményeit, valamint fontosabb szerepet kapnak az életciklus-alapú modellek, az ún. SDLC-k. (Software Development Lifecycle Security).

Az új szabvány a naplózást és a naplóelemzést is felértékeli

A szabványban megfogalmazott alapelvek azonban nem változtak: "A 3.0-s verzió is azokra épül, hogy kezelni tudjuk a közösségünk által adott visszajelzéseket, illetve segítsük a szervezeteket abban, hogy a biztonságot a legjobb üzleti gyakorlataik részévé tehessék" – nyilatkozta ezzel kapcsolatban Bob Russo, a PCI Security Standards Council vezetője.

Már megvan a bevezetés menetrendje: 2015. január 1-ig át kell állni

A PCI DSS a jövő év első napján lép hatályba. A bevezetésére kötelezett szervezeteknek kerek egy évük van arra, hogy eleget tegyenek a szabványban foglaltaknak. Néhány előírás bevezetésének azonban 2015. június 30. a határideje, így az lesz az időpont, amikorra az összes érintett vállalatnak és intézménynek teljes körűen meg kell felelnie a PCI DSS 3-0-nak.

A szabvánnyal kapcsolatban már korábban is voltak kételyek: legfőképpen az, hogy bevezetése túl költséges. Tavaly egy nemzetközi konferencián Dave Birch, a Consult Hyperion egyik igazgatója mondta ki a valószínűleg sokakban megfogalmazódott véleményt: a PCI DSS egyáltalán nem mindenható, hiszen a csalások jelentős része az úgynevezett adatvezérelt azonosságlopásokra vezethető vissza, ami ellen viszont a szabvány nem védi az online fizetés folyamatát. Ráadásul – állította Birch – hihetetlenül magas annak a költsége, hogy egy szervezet meg tudjon felelni a szabványnak.

A virtualizáció szabályozása problematikus

Kurt Hagerman, a FireHost információbiztonsági igazgatója most, a szabvány megjelenése után szintén a költségtényezőkre hívta fel a figyelmet. Szerinte az, hogy az új előírásoknak meg lehessen felelni, minden eddiginél több időt és pénzt követel majd. Drágább lesz az auditálás, emiatt nagyobb nyomás nehezedik majd az auditorokra. Az IT költségevetéseket is ki kell majd egészíteni, amire az információbiztonsági és informatikai vezetőknek időben fel kell készülniük a kiadások (át)tervezésével. Ugyanakkor ennek pozitív hozadékai lesz Hagerman szerint: ha mindenki jól végzi a dolgát, érzékelhetően megnő a bank- és hitelkártyák biztonsága annak ellenére, hogy a szakember még lát néhány gyenge pontot a szabványban.

Kurt Hagerman: drága lesz, de alapvetően jó a PCI DSS 3.0

Elsősorban a virtualizáció szabályozásával van probléma. Bár a PCI DSS 3.0 foglalkozik a virtualizáció magasabb szintjeivel, de például a hypervisorok megerősítése, valamint a virtualizáció menedzsmentjének és a virtuális switchek kezelésének biztonsági kérdéseit nem tisztázza megfelelő alapossággal – vélekedett Hagerman.

Az auitoroknak is lesznek nehézségeik

Steve Hall, a Tripwire PCI megoldásokért felelős igazgatója a PCI DSS 3.0 új jelentéssablonjaira hívta fel a figyelmet. Ezekben még mindig vannak módosítások, a végleges sablonok márciusra várhatók. Ez az auditorok dolgát nehezíti, mivel így nem kapnak megfelelő iránymutatás a különféle ellenőrzések elvégzéséhez. Hall azt is valószínűsíti, hogy a szabvány életbe lépése után is lesznek majd viták a szabványalkotók, az auditorok, az alkalmazók, a kereskedők és a különböző szolgáltatók között.

A szabvány bevezetését azonban nem lehet megkerülni. Tavaly a Dave Birch által kirobbantott vitára reagálva Jeremy King, a PCI Security Standards Council európai igazgatója egy nagyon fontos érvet fogalmazott meg: az Európai Bizottság hálózat- és információbiztonságra vonatkozó irányelvihez igazodásban a PCI DSS is segítséget nyújt a szervezeteknek.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}