Múlt héten jelent meg a Payment Card Industry Data Security Standard, azaz a PCI DSS legújabb, 4.0-s verziója. A PCI Security Standards Council által felügyelt szabvány négy év után frissül ismét (az előző, 3.2.1-es kiadás 2018-ban jelent meg). A frissítés célja a felügyelő testület szerint az, hogy a szövegbe emeljék az előző verzió kiadása után megjelent fenyegetéseket és technológiákat, valamint hogy innovatív módszereket adjanak az érdekelteknek  az ügyfelek fizetési adatait veszélyeztető új  kockázatok leküzdéséhez.

Bár a 360 oldalas dokumentumot a PCI Security Standards Council jegyzi, a végső változatba beledolgozták a globális fizetési iparág több mint 200 tagjának visszajelzéseit is. A teljes dokumentumot itt lehet (PDF) olvasni, de készült egy tized akkora terjedelmű kivonat is, amely összefoglalja az előző verzióhoz képesti legfontosabb változásokat: utóbbi itt érhető el (PDF).

A legfontosabb változások

Az új szabvány bevezeti a többfaktoros azonosítást (Multi-Factor Authentication – MFA) azokban a környezetekben, amelyek a kártyabirtokosok adataihoz való bármilyen hozzáféréshez kapcsolódnak. Kevésbé tűnik kardinális változásnak, de jelzi a technológiai hangsúlyok eltolódását, hogy a "tűzfalak" kifejezést a szabványban a "hálózati biztonsági ellenőrzések" kifejezés váltja. Ez arra utal, hogy az új PCI DSS a biztonsági technológiák szélesebb körét teszi alkalmazhatóvá, de arra is, hogy a szervezetek rugalmasabb kereteket kapnak a biztonsági szint javításához. Több olyan új követelmény is került a szabványba, amely a célzott kockázatelemzéshez kapcsolódik. Előre meghatározott időközönként kell kockázatelemzéseket végezni például a rosszindulatú programok által nem veszélyeztetett rendszerelemeknél, meg kell határozni a log-ellenőrzések gyakoriságát, az incidenskezelő személyzet képzésének sűrűségét stb.

Mivel a szabvány átvezetése időt igényel, a hatálya alá eső szervezetek 2024. március 31-éig kapnak haladékot az átállásra, addig érvényben marad az előző verzió. Az új követelmények (például a kockázatelemzésre vonatkozók többsége is) kezdetben csak best practice jellegű ajánlás lesz, és bevezetésére további egy év haladékot kapnak a szervezetek.

Egy compliance-automatizálási megoldásokat is szállító cég vezetője úgy értékelte az új szabványt a SecurityWeeknek, hogy az több területen határozott előrelépés jelent. Ilyennek nevezte például, hogy az új szabvány nagyobb teret hagy az egyre elfogadottabb Zero Trust architektúrának.