Call Us Anytime

+30 210 600 6666

Operating Hours

10:00 - 18:00

Email Us

[email protected]
REQUEST A CALL

Πώς να προετοιμαστείτε για το PCI DSS v4 το 2022

Home News Πώς να προετοιμαστείτε για το PCI DSS v4 το 2022
Πώς να προετοιμαστείτε για το PCI DSS v4 το 2022
/ Innotech News Technology Security

Πώς να προετοιμαστείτε για το PCI DSS v4 το 2022

Οι συζητήσεις σχετικά με το PCI DSS v4 έγιναν ολοφάνερες με την κυκλοφορία του πρώτου αιτήματος για σχόλια (RFC) το 2019, και αυτές οι συζητήσεις συνεχίστηκαν.

Το πρότυπο PCI DSS v3.2.1 δεν θα αποσυρθεί μέχρι το 1ο τρίμηνο του 2024. Το Συμβούλιο Προτύπων Ασφαλείας PCI θα κυκλοφορήσει το V4 το 1ο τρίμηνο του 2022 (πιθανότατα πολύ κοντά ή ακόμα και στις 31 Μαρτίου 2022). Το κοινό δεν θα γνωρίζει τι εμπεριέχεται στο v4 μέχρι την κυκλοφορία του.

Οι QSA, οι Συμμετέχοντες Οργανισμοί (PO) και οι Εγκεκριμένοι Προμηθευτές Σάρωσης (ASV) θα μπορούν να δουν μια προεπισκόπηση του v4 κάποια στιγμή αμέσως μετά την Πρωτοχρονιά. Όπως συμβαίνει με όλα μέχρι τώρα, όλοι βρίσκονται υπό NDA σχετικά με το v4, οπότε μέχρι να δημοσιοποιηθεί, οι πληροφορίες θα περιορίζονται σε οτιδήποτε διαρρέει το Συμβούλιο μέσω του ιστολογίου τους.

Τέλος, οι μελλοντικές χρονολογημένες απαιτήσεις δεν θα επιβληθούν μέχρι το 1ο τρίμηνο του 2025, δίνοντας στους οργανισμούς άφθονο χρόνο (τρία χρόνια) για να εφαρμόσουν αυτές τις απαιτήσεις.

Συμβουλές για εμπόρους

Οι έμποροι θα πρέπει να έχουν τον πιο εύκολο χρόνο μετάβασης στο v4. Μετά από τόσα χρόνια και την εμφάνιση των λύσεων P2PE/E2EE και tokenization, δεν θα πρέπει πλέον να έχουν ευαίσθητα δεδομένα ελέγχου ταυτότητας (SAD) ή δεδομένα κατόχου κάρτας (CHD) στο περιβάλλον τους. Ως αποτέλεσμα, το V4 θα έχει μόνο μικρό αντίκτυπο στους εμπόρους. Ενδεχομένως ορισμένες νέες απαιτήσεις για να διασφαλιστεί ότι το CHD δεν βρίσκεται πλέον στο περιβάλλον τους.

Οι έμποροι δεν έχουν κανένα έγκυρο επαγγελματικό λόγο να έχουν SAD/CHD στο περιβάλλον τους. Τώρα είναι η ώρα να το βγάλετε από το περιβάλλον σας, γιατί αν πιστεύετε ότι η έκδοση 3.2.1 του PCI DSS είναι δύσκολη να την αντιμετωπίσετε, το v4 θα σας "βγάλει εκτός λειτουργίας". Το να έχετε SAD/CHD στο περιβάλλον σας θα κάνει την αξιολόγηση PCI ακόμα πιο δύσκολη στην έκδοση 4 και πιθανώς ακόμη και να δείξει ότι ο οργανισμός σας δεν είναι παράδεισος αλλά μη συμμορφούμενος. Τώρα είναι καιρός να μεταβείτε σε P2PE/E2EE και tokenization λύσεις για τα επόμενα τρία χρόνια.

Συμβουλές για τους παρόχους υπηρεσιών

Υπάρχουν πολύ λίγα καλά νέα για τους παρόχους υπηρεσιών, επειδή είνα συνδεδεμένοι με την επεξεργασία, την αποθήκευση ή τη μετάδοση του SAD/CHD ή έχουν πρόσβαση έτσι ώστε να μπορούν να επηρεάζουν την ασφάλεια αυτών των δραστηριοτήτων. Το ένα κομμάτι είναι ότι, ως επί το πλείστον, η νέα έκδοση φαίνεται να έχει μόνο ένα ελάχιστο άμεσο αντίκτυπο και είναι οι μελλοντικές απαιτήσεις της V4.

Υπενθυμίζουμε ότι υπάρχουν δύο τύποι παρόχων υπηρεσιών, αυτοί που επεξεργάζονται, αποθηκεύουν ή μεταδίδουν απευθείας το SAD/CHD και οι πάροχοι υπηρεσιών που μπορούν να επηρεάσουν μόνο την ασφάλεια του SAD/CHD. Αυτές οι διακρίσεις είναι σημαντικές με βάση τον κίνδυνο που παρουσιάζεται στο SAD/CHD. Οι πάροχοι υπηρεσιών που θα μπορούσαν να επηρεάσουν την ασφάλεια του SAD/CHD διατρέχουν συνήθως χαμηλότερο κίνδυνο από εκείνους τους παρόχους υπηρεσιών που επεξεργάζονται, αποθηκεύουν ή μεταδίδουν απευθείας το SAD/CHD.

Για τους παρόχους υπηρεσιών που επηρεάζουν μόνο την ασφάλεια του SAD/CHD, θα χρειαστεί να αξιολογήσσουν τη συμμόρφωση του οργανισμού τους με το PCI DSS. Πολλοί πάροχοι υπηρεσιών αυτής της κατηγορίας εξακολουθούν να μην αξιολογούν τη συμμόρφωσή τους με το PCI. 
Το αποφεύγουν γιατί οι οργανισμοί και οι QSA δεν τους ζητούν τη Βεβαίωση Συμμόρφωσης PCI (AOC) ή παραθέτουν τις τυπικά χαζές δικαιολογίες γιατί δεν έχουν ή δεν χρειάζεται να το κάνουν. Όλες οι επιθέσεις της εφοδιαστικής αλυσίδας τελευταία το έχουν αλλάξει αυτό, και το v4 έχει αντιμετωπίσει αυτό το ζήτημα ασκώντας πίεση στους εμπόρους και τους παρόχους υπηρεσιών να κατανοήσουν τις αλυσίδες εφοδιασμού των παρόχων υπηρεσιών τους. Αυτή η πίεση θα διασφαλίσει ότι όλοι οι πάροχοι υπηρεσιών είναι συμβατοί με το PCI αποκτώντας το AOC τους. Επομένως, όλοι οι πάροχοι υπηρεσιών σε αυτήν την κατηγορία, θα πρέπει να είναι έτοιμοι αν οι πελάτες τους πουν ότι είτε συμμορφώνονται αλλιώς αλλάξουν προμηθευτή. Επίσης, μην εκπλαγείτε αν πολλοί από τους πελάτες στείλουν τους QSA τους για να αξιολογήσουν τον οργανισμό.

Οι παρόχοι υπηρεσιών που θα αντιμετωπίσουν όλες τις αλλαγές είναι εκείνοι που αλληλεπιδρούν άμεσα με το SAD/CHD. Τα καλά νέα είναι ότι έχετε τουλάχιστον τρία χρόνια στη μετάβαση για τις μελλοντικές χρονολογημένες απαιτήσεις. Οι περισσότερες από τις άμεσες αλλαγές είναι πράγματα που ήδη κάνετε. το Συμβούλιο μόλις άλλαξε τη συχνότητα που τα κάνετε. Αλλά αυτές οι μελλοντικές απαιτήσεις ανησυχούν περισσότερο τους QSA επειδή γνωρίζουν πόσοι οργανισμοί ανταποκρίθηκαν στις αλλαγές από την έκδοση 2 σε έκδοση 3 και ακόμη και από την έκδοση 3.1 στην έκδοση 3.2. Οι οργανισμοί περίμεναν να ξεκινήσουν τα έργα και στη συνέχεια αντιμετώπισαν καθυστερήσεις, οι οποίες προκάλεσαν προβλήματα συμμόρφωσης ένα ή δύο χρόνια αργότερα. Για να αποφύγουμε αυτήν την κατάσταση αυτή τη φορά, ενθαρρύνουμε τους οργανισμούς να διαβάσουν το V4 όταν κυκλοφορήσει και να καθορίσουν ποιες αλλαγές θα χρειαστούν το συντομότερο δυνατό για να αποφευχθούν τα ζητήματα μη συμμόρφωσης των προηγούμενων μεταβάσεων.

CATEGORIES

RECENT POSTS