Múlt héten jelent meg a Payment Card Industry Data Security Standard, azaz a PCI DSS legújabb, 4.0-s verziója. A PCI Security Standards Council által felügyelt szabvány négy év után frissül ismét (az előző, 3.2.1-es kiadás 2018-ban jelent meg). A frissítés célja a felügyelő testület szerint az, hogy a szövegbe emeljék az előző verzió kiadása után megjelent fenyegetéseket és technológiákat, valamint hogy innovatív módszereket adjanak az érdekelteknek az ügyfelek fizetési adatait veszélyeztető új kockázatok leküzdéséhez.
Bár a 360 oldalas dokumentumot a PCI Security Standards Council jegyzi, a végső változatba beledolgozták a globális fizetési iparág több mint 200 tagjának visszajelzéseit is. A teljes dokumentumot itt lehet (PDF) olvasni, de készült egy tized akkora terjedelmű kivonat is, amely összefoglalja az előző verzióhoz képesti legfontosabb változásokat: utóbbi itt érhető el (PDF).
A legfontosabb változások
Az új szabvány bevezeti a többfaktoros azonosítást (Multi-Factor Authentication – MFA) azokban a környezetekben, amelyek a kártyabirtokosok adataihoz való bármilyen hozzáféréshez kapcsolódnak. Kevésbé tűnik kardinális változásnak, de jelzi a technológiai hangsúlyok eltolódását, hogy a "tűzfalak" kifejezést a szabványban a "hálózati biztonsági ellenőrzések" kifejezés váltja. Ez arra utal, hogy az új PCI DSS a biztonsági technológiák szélesebb körét teszi alkalmazhatóvá, de arra is, hogy a szervezetek rugalmasabb kereteket kapnak a biztonsági szint javításához. Több olyan új követelmény is került a szabványba, amely a célzott kockázatelemzéshez kapcsolódik. Előre meghatározott időközönként kell kockázatelemzéseket végezni például a rosszindulatú programok által nem veszélyeztetett rendszerelemeknél, meg kell határozni a log-ellenőrzések gyakoriságát, az incidenskezelő személyzet képzésének sűrűségét stb.
Mivel a szabvány átvezetése időt igényel, a hatálya alá eső szervezetek 2024. március 31-éig kapnak haladékot az átállásra, addig érvényben marad az előző verzió. Az új követelmények (például a kockázatelemzésre vonatkozók többsége is) kezdetben csak best practice jellegű ajánlás lesz, és bevezetésére további egy év haladékot kapnak a szervezetek.
Egy compliance-automatizálási megoldásokat is szállító cég vezetője úgy értékelte az új szabványt a SecurityWeeknek, hogy az több területen határozott előrelépés jelent. Ilyennek nevezte például, hogy az új szabvány nagyobb teret hagy az egyre elfogadottabb Zero Trust architektúrának.
Exkluzív szakmai nap a felhők fölött: KYOCERA Roadshow a MOL Toronyban
A jövő irodája már nem a jövő – hanem a jelen. A digitális transzformáció új korszakába lépünk, és ebben a KYOCERA nemcsak követi, hanem formálja is az irányt. Most itt a lehetőség, hogy első kézből ismerje meg a legújabb hardveres és szoftveres fejlesztéseket, amelyekkel a KYOCERA új szintre emeli a dokumentumkezelést és az üzleti hatékonyságot.
a melléklet támogatója a One Solutions
CIO KUTATÁS
AZ IRÁNYÍTÁS VISSZASZERZÉSE
Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?
Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!
Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak