Ettől a hónaptól már az új verzió szerint kell készülniük az auditra a szabvány használatára kötelezett szervezeteknek. Érdemes mihamarabb átállni.

Nem hozott forradalmi újdonságokat, de néhány helyen szigorítottak a PCI DSS (Payment Card Industry Data Security Standard) hat hónapja kiadott új verziójában. A 3.1-es változatot október 31-éig lehetett használni lépett életbe, azaz a használatára kötelezett szervezeteknek már az új verzió szerint kell felkészülniük az auditokra. A változások teljes körű implementációját azonban 2018. február 1-jéig kell végrehajtani.

Forradalmi újítások nincsenek, de – mint azt a Biztonságportál összefoglalója írja – néhány pontjára érdemes odafigyelni, különösen azért, mert a beruházások tervezésére, azaz végső soron a költségekre is kihathatnak.

Szigorúbb előírások a titkosított kommunikációra

Az új verzió szigorít a titkosított kommunikációra vonatkozó követelményeken. Már a tavaly áprilisban kiadott 3.1-esben is benne volt, ám végül csak most vált kötelezővé az SSL/TLS adatátvitel legújabb protokollokra történő migrálása. A halasztás oka az volt, hogy a nagyobb szolgáltatók nem tudták időben összehangolni a különböző SSL/TLS protokollokat használó szervezetek rendszereit, és így nem tudták volna biztosítani a zökkenőmentes kommunikációt.

Szintén szigorítottak a hitelesítéseken. A távoli hozzáférések esetében a szabvány már korábban is megkövetelte a többfaktoros azonosítást, de ezt az új verzió kiterjesztette minden olyan – nem konzolos – adminisztrátori szintű elérésre, amelyek kártyaadatok tárolását, kezelését végző rendszerekhez kapcsolódik. Cél volt a mobilbiztonsági kockázatok csökkentése is, ezért az új előírások szerint az egyes azonosítási faktorok nem kötődhetnek egyazon eszközhöz. Például a telefonon generált tokeneket akkor lehet használni, ha a felhasználó az asztali vagy a hordozható számítógépéről jelentkezik be a védett rendszerbe, ám ha a telefonról, akkor már nem.

A penetrációs teszteket is sűríteni kell. A korábbi változat elég volt évente egyszer ellenőrizni, hogy a szegmentált rendszerek izolációja biztonságos. Mostantól ezt félévente el kell végezni. Ennek indoka legfőképpen az, hogy nagyon gyorsa változnak az üzleti célok, és ezt a biztonságnak is le kell kövtenie.

Az új verzió felkészülést jelent GDPR-re

A 3.2-es verzió előírásainak bevezetését nem csak a compliance teszi szükségessé. Mint arra Jeremy King, a PCI SSC igazgatója, egy nyilatkozatában utalt, a szervezeteknek már másfél évük sincs arra, hogy felkészüljenek az Európai Unió idén elfogadott adatvédelmi rendeletének (GDPR – General Data Protection Regulation) előírásaira. Az idén április végén kiadott és 2018 februártól életbe lépő rendelet (a teljes szöveg itt olvasható) részletesen szabályozza például az adatkezelés lehetőségeit, és meghatározza az adatvédelemmel, valamint az adatvédelmi hatásvizsgálatokkal szembeni követelményeket.
 

WorldPay Global Payments Report 2015
Create column charts

King szerint az erre való felkészülés ugyan újabb kihívás lesz a szervezeteknek, de szerinte a PCI DSS ebben is segít: ha egy szervezet teljes mértékben megfelel a PCI DSS 3.2-nek, az valószínűleg a GDPR előírásait is teljesíti. Az új szabványban számos olyan elem van, például a kártyabirtokosok adatainak kezelésére vagy az incidensek bejelentésére vonatkozóan, amely összhangban van az EU-s rendelettel.

A PCI DSS 3.2 változásait a PCI Security Standads Council pontról pontra külön is összefoglalta egy pdf dokumentumban, a lényegesebb változásokat pedig Troy Leach, a szervezet főmérnöke magyarázza el egy blogbejegyzésében. Az új EU-s adatvédelmi rendeletre való felkészülésről itt olvashatók tanácsok.

Biztonság

A Meta előre figyelmeztet rá, hogy új robotja néha túllő a célon

A BlenderBot 3 sértő vagy valótlan dolgokat is közölhet, sőt időnként arról is elfeledkezhet, hogy ő maga egy chatbot. A Meta azonban nem ennek ellenére, hanem éppen ezért kezdi most meg a publikus tesztelését.
 
A felhő térfoglalása és a ransomware-támadások elszaporodása sok szervezetet rákényszerít, hogy újratervezze a mentési és helyreállítási infrastruktúráját.
A Világgazdasági Fórum figyelmeztetése szerint jelentős szakadék tátong a C-szintű vezetők és az információbiztonságért felelős részlegek helyzetértékelése között.

A járvány üzleti vezetőt csinált a CIO-kból

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.