02.10.2020
Minęło trochę czasu, a to, co było nowoczesne i postępowe, zaczyna się starzeć. Zawsze pojawia się konieczność dostosowania do wymagań nowej rzeczywistości. Szczególnie zauważalne i dynamiczne zmiany zachodzą w obszarze technologii informacyjnych. Opowiemy o pewnych zmianach, które nastąpiły w dziedzinie cyberbezpieczeństwa.
W maju 2018 roku została wydana nowa wersja standardu PCI DSS, nosząca nazwę PCI DSS 3.2.1.
Potrzeba wprowadzenia zaktualizowanego standardu była naturalnym krokiem. Poprzednia wersja standardu nosiła nazwę PCI DSS 3.2 i została przyjęta w kwietniu 2016 roku. Ta wersja standardu zawierała wiele postanowień przejściowych i wymagań z odroczonym terminem obowiązywania. Od 1 lutego 2018 roku wszystkie wymagania stały się obowiązujące.
Faktycznie wersja PCI DSS 3.2.1 nie wprowadziła niczego nowego. Jest to swojego rodzaju techniczna aktualizacja, w której nie ma okresu przejściowego ani odroczonych wymagań. Co to oznacza dla wszystkich, którzy muszą przejść certyfikację zgodnie ze standardem PCI DSS?
Od maja 2018 roku wszyscy certyfikowani muszą stosować wymagania nowej wersji standardu - PCI DSS 3.2.1.
Przypomnijmy, jakie wymagania PCI DSS 3.2.1 stały się obowiązkową częścią standardu:● Konieczność stosowania autoryzacji wieloskładnikowej dla każdego dostępu z uprawnieniami administracyjnymi. Wynika to głównie z faktu, że uprawnienia administratora dają wiele możliwości w infrastrukturze IT. Autoryzacja dwuskładnikowa utrudnia łamanie i uzyskiwanie nieautoryzowanego dostępu. Faktycznie oznacza to, że same hasła nie są już wystarczające do ochrony dostępu. Każdy administrator powinien mieć fizyczny klucz elektroniczny - może to być klucz USB lub karta smart.● Wzrosła wymaganie dotycząca ciągłego monitorowania sprawności wszystkich systemów ochrony infrastruktury IT firmy. Jeśli nagle wystąpi awaria w programie antywirusowym, zapory sieciowej lub systemie kontroli dostępu, administratorzy systemowi muszą natychmiast dowiedzieć się o incydencie, mieć klarowny plan działania na taki przypadek i działać zgodnie z tym planem.● Obowiązkowe przeprowadzanie testów raz na 6 miesięcy. Jeśli wcześniej wystarczało przeprowadzać testy raz w roku, teraz co pół roku konieczne jest sprawdzenie skuteczności środków ochrony sieci. To testowanie jest obowiązkowe dla dostawców usług, a dla przedsiębiorstw handlowych, dla merchantów, to wymaganie jest zalecane.● W wersji standardu PCI DSS 3.2.1 pojawiły się wymagania dotyczące wyższego kierownictwa firmy. Teraz dyrektor lub rada dyrektorów osobiście ponosi odpowiedzialność za spełnianie i kontrolę wszystkich wymagań standardu PCI DSS.● Konieczność przeprowadzania kwartalnych wewnętrznych audytów praktyk lub procedur zabezpieczenia informacji. Takie audyty powinny pokazywać kierownictwu firmy, że zarządzanie incydentami, podatnościami, zmianami, kontrolą dostępu i środkami ochrony sieci pracuje poprawnie i jest eksploatowane przez personel zgodnie z PCI DSS.
Nowa wersja standardu podkreśla znaczenie spełniania wymagań PCI DSS 3.2.1 na codzienną zasadę. To bezpośrednio świadczy o tym, że bezpieczeństwo informacyjne staje się integralną częścią procesów biznesowych. Współczesny biznes nie może się rozwijać bez zaawansowanej ochrony cybernetycznej.
Przypuszczamy, że nawet po przeczytaniu tego artykułu czytelnik może mieć szereg pytań dotyczących wdrożenia wszystkich niezbędnych zmian w swojej firmie.
Swoje pytania możecie zadawać ekspertom naszej firmy. Udostępnimy Wam pełną informację i w razie potrzeby przeprowadzimy szkolenie Waszego personelu we wszystkich obszarach wymagań PCI DSS. W tym celu skorzystajcie z prostego formularza kontaktowego umieszczonego na dole strony.
Dla firm, które wcześniej zostały skonsultowane przez naszych audytorów, tego rodzaju szkolenie personelu jest bezpłatne!