Nem hozott forradalmi újdonságokat, de néhány helyen szigorítottak a PCI DSS (Payment Card Industry Data Security Standard) hat hónapja kiadott új verziójában. A 3.1-es változatot október 31-éig lehetett használni lépett életbe, azaz a használatára kötelezett szervezeteknek már az új verzió szerint kell felkészülniük az auditokra. A változások teljes körű implementációját azonban 2018. február 1-jéig kell végrehajtani.

Forradalmi újítások nincsenek, de – mint azt a Biztonságportál összefoglalója írja – néhány pontjára érdemes odafigyelni, különösen azért, mert a beruházások tervezésére, azaz végső soron a költségekre is kihathatnak.

Szigorúbb előírások a titkosított kommunikációra

Az új verzió szigorít a titkosított kommunikációra vonatkozó követelményeken. Már a tavaly áprilisban kiadott 3.1-esben is benne volt, ám végül csak most vált kötelezővé az SSL/TLS adatátvitel legújabb protokollokra történő migrálása. A halasztás oka az volt, hogy a nagyobb szolgáltatók nem tudták időben összehangolni a különböző SSL/TLS protokollokat használó szervezetek rendszereit, és így nem tudták volna biztosítani a zökkenőmentes kommunikációt.

Szintén szigorítottak a hitelesítéseken. A távoli hozzáférések esetében a szabvány már korábban is megkövetelte a többfaktoros azonosítást, de ezt az új verzió kiterjesztette minden olyan – nem konzolos – adminisztrátori szintű elérésre, amelyek kártyaadatok tárolását, kezelését végző rendszerekhez kapcsolódik. Cél volt a mobilbiztonsági kockázatok csökkentése is, ezért az új előírások szerint az egyes azonosítási faktorok nem kötődhetnek egyazon eszközhöz. Például a telefonon generált tokeneket akkor lehet használni, ha a felhasználó az asztali vagy a hordozható számítógépéről jelentkezik be a védett rendszerbe, ám ha a telefonról, akkor már nem.

A penetrációs teszteket is sűríteni kell. A korábbi változat elég volt évente egyszer ellenőrizni, hogy a szegmentált rendszerek izolációja biztonságos. Mostantól ezt félévente el kell végezni. Ennek indoka legfőképpen az, hogy nagyon gyorsa változnak az üzleti célok, és ezt a biztonságnak is le kell kövtenie.

Az új verzió felkészülést jelent GDPR-re

A 3.2-es verzió előírásainak bevezetését nem csak a compliance teszi szükségessé. Mint arra Jeremy King, a PCI SSC igazgatója, egy nyilatkozatában utalt, a szervezeteknek már másfél évük sincs arra, hogy felkészüljenek az Európai Unió idén elfogadott adatvédelmi rendeletének (GDPR – General Data Protection Regulation) előírásaira. Az idén április végén kiadott és 2018 februártól életbe lépő rendelet (a teljes szöveg itt olvasható) részletesen szabályozza például az adatkezelés lehetőségeit, és meghatározza az adatvédelemmel, valamint az adatvédelmi hatásvizsgálatokkal szembeni követelményeket.
 

King szerint az erre való felkészülés ugyan újabb kihívás lesz a szervezeteknek, de szerinte a PCI DSS ebben is segít: ha egy szervezet teljes mértékben megfelel a PCI DSS 3.2-nek, az valószínűleg a GDPR előírásait is teljesíti. Az új szabványban számos olyan elem van, például a kártyabirtokosok adatainak kezelésére vagy az incidensek bejelentésére vonatkozóan, amely összhangban van az EU-s rendelettel.

A PCI DSS 3.2 változásait a PCI Security Standads Council pontról pontra külön is összefoglalta egy pdf dokumentumban, a lényegesebb változásokat pedig Troy Leach, a szervezet főmérnöke magyarázza el egy blogbejegyzésében. Az új EU-s adatvédelmi rendeletre való felkészülésről itt olvashatók tanácsok.