Ein Jahr nach der Einführung von PCI DSS v4.0 und zwei Jahre näher an der Compliance-Frist: Wie wurde diese neue Version angenommen und was bedeutet sie für die Einhaltung von Sicherheit und Compliance? Dan Raywood befasst sich mit den neuen Anforderungen.
Ende März 2022 wurde eine neue Version des Payment Card Industry Data Security Standard (PCI DSS) eingeführt, die einige Versuche unternahm, mit modernen Cyber-Angriffstechniken Schritt zu halten und letztlich deren Erfolg zu verhindern.
Als Ersatz für Version 3.2.1 wurde Version 4.0 am 31. März 2022 veröffentlicht und die Frist für die Einhaltung endet am 31. März 2025. In der Zwischenzeit wird Version 3.2.1 am 31. März 2024 eingestellt, sodass ein Unternehmen bis dahin weiterhin auf diese Version geprüft werden kann Datum.
Das PCI Security Standards Council (SSC) beschrieb es als „reaktionsfähiger auf die dynamische Natur von Zahlungen und die Bedrohungsumgebung“. Ziel war es, „die Kernsicherheitsprinzipien zu stärken und gleichzeitig mehr Flexibilität zu bieten, um verschiedene Technologieimplementierungen besser zu ermöglichen“.
Letztendlich waren die vier Hauptziele: weiterhin den Sicherheitsanforderungen der Zahlungsbranche gerecht zu werden, Sicherheit als kontinuierlichen Prozess zu fördern, Flexibilität für verschiedene Methoden zu schaffen und Validierungsmethoden zu verbessern.
Tatsächlich war die Sicherheit von entscheidender Bedeutung für seine Entwicklung, da zu den neuen Anforderungen erweiterte Anforderungen für die Multi-Faktor-Authentifizierung, aktualisierte Passwortanforderungen und neue Phishing-Schulungsanforderungen gehörten.
Wie gut wurde der neue Standard ein Jahr nach der Einführung dieses neuen Standards angenommen? Ein Podcast beschrieb es als eine bedeutende Entwicklung, da der Standard zehn Jahre lang relativ statisch gewesen sei und die letzte geringfügige Änderung vor fünf Jahren stattgefunden habe. „Gleichzeitig mit dieser Veränderung veränderten sich die Welt und die Welt der Cybersicherheit, und zwar [insbesondere] mit der Umstellung auf die Cloud.“
Jason Wallis, Hauptberater und QSA bei One Compliance Cyber, gab zu, dass die Änderung von 3.2.1 auf 4.0 erheblich war und für einige Unternehmen „etwas belastend“ wäre, insbesondere bei der Aktualisierung von Richtlinien, Verfahren und Prozessen. Dennoch gibt es in Wirklichkeit nicht allzu viel, was ein Unternehmen tun müsste.
„Es wurden neue Anforderungen hinzugefügt, weil PCI SSC aktuelle Bedrohungen berücksichtigt hat“, sagt er. „Jeden Tag werden neue Angriffe entdeckt, bei denen Hacker in Unternehmen eindringen, und da diese Bedrohungen zunehmen und neue Bedrohungen entstehen, sollten die Standards zum Schutz von Unternehmen mit den neuen Bedrohungen weiterentwickelt werden.“
Eine besondere Bedrohung ist das Skimming von Karten. Wallis verweist auf den Vorfall mit British Airways aus dem Jahr 2018, von dem 380,000 Kunden betroffen waren, und sagt, dies sei in neuen Anforderungen behoben worden. Das bedeutet nun, dass das Unternehmen genau wissen muss, welche Skripte in den Browsern seiner Kunden angezeigt werden, und in einigen Fällen eine Änderungserkennungstechnologie hinzufügen muss, die es auf Änderungen an Konfigurationen auf seiner Zahlungsseite aufmerksam macht.
Wallis erklärt, dass die neue Anforderung eine Folge von Rückmeldungen zu neuen Bedrohungen sei. Diese Art von Man-in-the-Middle-Angriffen werde häufig durch schwache Passwort-Anmeldeinformationen oder eine schwache Zugangskontrolle ermöglicht und könne „unentdeckt bleiben und viele, viele Monate andauern“, sagt er sagt.
„Manchmal bemerkt der Händler es überhaupt nicht, und zwar erst dann, wenn die erwerbende Bank ihm mitteilt: ‚Wir haben viele Kunden, die sagen, dass sie gehackt wurden oder dass ihnen Kartendaten gestohlen wurden‘.“ ” Er sagt, dass die aktive Beobachtung, welche Skripte zu einem bestimmten Zeitpunkt auf einer Zahlungsseite ausgeführt werden, oder die Verwendung einer Software zur Änderungserkennung das Risiko verringern sollte, dass jemand überhaupt dazu kommt.
„Erstens erhöhen Sie die Anforderungen an die Zugangskontrolle, um es für sie schwieriger zu machen, an die Daten zu gelangen, und wenn sie dann doch hineinkommen, gibt es eine zusätzliche Anforderung, die es wahrscheinlicher macht, dass sie früher entdeckt werden.“
Bei der Einführung von Cloud- und Hybridumgebungen in allgemeine IT-Praktiken, insbesondere bei der Einführung von AWS, Azure und Google Cloud, müssen sowohl deren Compliance als auch Ihre eigene berücksichtigt werden. Wallis sagte, dass es innerhalb dieser Plattformen gewisse Compliance-Level gibt und Google Cloud einige Anforderungen in Ihrem Namen erfüllt, während andere Anforderungen geteilt werden und für einige andere der Händler verantwortlich ist.
Simon Turner, Senior Manager von ISSCA Consultancy Services und ISA bei BT, sagt, der Cloud-Faktor sei einer der wesentlichen Schwerpunktbereiche von Version 4.0, da „Version 3 für die Zuordnung zur Cloud schlecht war und weil „QSAs auf technisches Fachwissen angewiesen sind, Version.“ 4.0 ist jetzt definitiv auf Cloud-Technologien ausgerichtet.“
War die Einführung der Version 4.0 eine positive Sache? Turner sagt im Hinblick auf den Nutzen für die Branche; dann lohnt es sich auf jeden Fall. „In Bezug auf QSAs und Sicherheitsexperten ist es ein Schritt in die richtige Richtung: Einige Sicherheitsexperten sagen vielleicht, dass es nicht weit genug geht, aber die Leute müssen verstehen, dass das Unternehmen funktionieren und Zahlungen entgegennehmen muss.“ um zu operieren.“
Für Unternehmen, die nur Fragebögen zur Selbstbewertung ausfüllen müssen, wird der Bedarf an zusätzlicher Unterstützung zur Erreichung der Compliance wahrscheinlich geringer sein. Es wird jedoch erwartet, dass die Nachfrage nach QSAs von Unternehmen der ersten Stufe, die Millionen von Transaktionen verarbeiten, steigen wird.
Turner sagt, dass einige Unternehmen PCI DSS einhalten, weil „es eine vertragliche Sache ist, während einige größere Unternehmen sich zu 100 % dem Schutz der Marke verpflichten.“ Hier ist eine konsequente Compliance erforderlich, und sicherzustellen, dass Sie ISO 27001 entsprechen, ist ein wichtiger Schritt in diese Richtung, um sicherzustellen, dass Sie die Dinge richtig machen.
Während sich beide Standards auf technische und organisatorische Kontrollen konzentrieren, sagt Ihnen PCI DSS in eindeutigen Worten, was erwartet wird. Im Gegensatz dazu ermöglicht ISO 27001 Organisationen, zu bestimmen, wie der Befehl aussehen wird, der für die Risikobereitschaft relevant ist.
Es gibt klare Hinweise darauf, dass Sicherheitsmaßnahmen bei dieser neuen Version besonders wichtig sind und dass der SSC über zukünftige Angriffe nachdenkt und darüber nachdenkt, wie er sich am besten dagegen wehren kann. Ist dies ein Schritt in Richtung Sicherheit, der Compliance ermöglicht? Dies kann ein Fortschritt sein, da die Erfüllung dieser Anforderungen bestimmte Sicherheitsstufen erfordert.
Nutzen Sie noch heute Ihren Compliance-Vorteil
Wenn Sie Ihre Reise zur PCI-DSS-Konformität beginnen möchten, können wir Ihnen helfen.
