Tavaly november közepére készült el a PCI DSS (Payment Card Industry Data Security Standard) új verziója, és idén január 1-jével lépett hatályba. A bevezetésére kötelezett szervezeteknek 2015. január 1-jéig kell átállniuk a 3.0-s verzió használatára. Ez komoly terheket ró a szervezetekre annak ellenére, hogy az új verziójának néhány előírásának bevezetésére hosszabb türelmi időt kapnak, azaz a teljes bevezetésnek jövő év június 30-áig kell megtörténnie. A Biztonságportál összegyűjtött néhány véleményt arról, hogyan állnak a cégek a bevezetéssel.

Egyelőre több jel utal arra, hogy gyatrán, mint arra, hogy jól. Pedig a legújabb kiadásához sok biztonsági szakértő nagy reményeket fűzött, sőt többen azt is megkockáztatták, hogy az átállás határozza meg idei év megfelelőségi (compliance) projektjeit. A cégek azonban egyes felmérések szerint nem égnek a készülődés lázában, pedig az óra ketyeg, és már csupán fél év van a felkészülésre.

Az is kérdés, hogy az új szabvány segíti-e kockázatalapú megközelítés térnyerését a comliance-vezérelt szemlélettel szemben.

Félig üres versus félig tele pohár

A közelmúltban néhány felmérés nagyon rossz képet festett a felkészülés állásáról, ám vannak optimista vélemények is. Az NTT Com Security átállásról készített kutatásában a megkérdezett szervezeteknek mindössze a 30 százaléka mondta, hogy már vannak terveik az átállással összefüggő compliance tevékenységekhez. Ez még önmagában nem riasztó, ám az már igencsak elgondolkodtató, hogy a kutatóknak válaszoló, a PC DSS bevezetésében érintett cégek, intézmények 70 százaléka még azzal sem volt tisztában, hogy pontosan milyen határidőkkel kell számolni.

A Cisco Security Business Group alelnöke, Scott Harrell optimistább – a tapasztalatai alapján. Szerinte már sok cég ismeri az új szabványt, és meg is kezdték beszerezni azokat a technológiai eszközöket, amik szükségesek a megfelelőséghez, és kijelölték azokat az alkalmazottakat, akik felelnek az átállásért.

Azt persze Harrell is megerősítette, hogy a mindennapok szintjén még sok a hiányosság: a legtöbb szervezet még mindig kifejezetten az auditokra koncentrál, és az év több részében fellazul a védelem. Ezt támasztotta alá a Verizon egyik felmérése is, amely szerint az auditok között a vállatoknak mindössze a 10 százaléka rendelkezik az elvárásoknak megfelelő biztonsági szinttel.

A Citrix még a Cisco-alelnöknél is optimistább. Szerintük a szervezetek túlnyomó többsége felkészült a PCI DSS 3.0-ra. Kurt Roemer, a Citrix biztonsági stratégája, szerint ugyanis az egyre terjedő, hitelkártyákat sújtó adatbiztonsági incidensek mindenkit elgondolkodtattak, nagyvállalatokat éppúgy, mint a kis cégeket vagy az egyéni felhasználókat. Ráadásul "az új DSS minimális változtatásokat hozott az elődjeihez képest, illusztrálva azt, hogy a PCI szabványok elég érettek ahhoz, hogy megvédjék a kártyaadatokat, és egyszerűvé tegyék a megfelelőséggel való lépéstartást" – mondta.

Árnyaltabban fogalmazott Torsten George, az Agiliance alelnöke, aki óva intett az általánosítástól. "A kisebb és közepes méretű szervezetek lassabban alkalmazkodnak az új elvárásokhoz, miközben a nagyobb cégek már elkezdték bevezetni az új kontrollokat" – vélte a szakember. Torsten George ezt azzal magyarázta, hogy a biztonsági incidensek következtében a nagyobb vállalatok már korábban is tettek lépéseket egyebek mellett a penetrációs tesztek, az életciklus-alapú biztonsági megközelítések irányába, léptek a fenyegetettségek modellezése, kezelése terén, ezért most valamivel egyszerűbb a dolguk.

Azt azonban az Agiliance alelnöke is elismeri, hogy a legtöbb szervezet a PCI megfelelőséget egy kipipálható ellenőrző listaként képzeli el, és ezáltal minden a megfelelőség-vezérelt biztonság irányába mutat. Így azonban szerinte nem várható a PCI DSS 3.0-tól, hogy segítse a kockázatalapú megközelítés terjedését.