02.02.2024
Czas płynie szybko, a w zakresie certyfikacji na zgodność ze standardem PCI DSS nastąpią zmiany, o których warto wiedzieć. Wszyscy wiemy, że od 2018 roku aktualną wersją standardu PCI DSS jest 3.2.1, która zostanie wycofana 31 marca 2024 roku. Nastąpi wówczas przejście na nową wersję standardu PCI DSS 4.0. Jest to niezbędny warunek do spełnienia przez organizacje działające w sferze bezpieczeństwa danych płatniczych. Aby pomóc w przejściu na nową wersję, przygotowaliśmy kilka ważnych zaleceń. Prosimy wziąć je pod uwagę, by ułatwić sobie przejście na nową wersję standardu PCI DSS 4.0. Zapewniamy, że pozwoli to uniknąć dodatkowych problemów.
1. Najważniejsze, co można zrobić już teraz — nie zwlekając, rozpocząć przejście organizacji na standard PCI DSS 4.0. To nasze najważniejsze zalecenie! Data wycofania standardu PCI DSS 3.2.1 zbliża się szybkimi krokami, a przygotowania należy rozpocząć odpowiednio wcześniej. Warto jak najszybciej zrozumieć, co dla organizacji oznacza standard PCI DSS 4.0, by móc jak najwcześniej rozpocząć planowanie i ustalanie priorytetów gwarantujących płynne i efektywne przejście.
2. Rozpoczynając wprowadzanie zmian mających na celu zapewnienie zgodności ze standardem PCI DSS 4.0, ważne jest, aby wciąż przestrzegać wszystkich niezbędnych środków bezpieczeństwa określonych w starej wersji standardu PCI DSS 3.2.1. Należy utrzymywać istniejące mechanizmy kontrolne PCI DSS nawet, skupiając już uwagę na wdrożeniu nowych wymagań wersji 4.0.Jeżeli organizacja ma uzyskać certyfikat PCI DSS po raz pierwszy, należy brać pod uwagę wszystkie wymagania zaktualizowanej wersji 4.0 tego standardu. 
Aby zrozumieć zmiany w standardzie PCI DSS 4.0, najlepiej rozpocząć od przeczytania „Skróconego opisu zmian między standardem PCI DSS 3.2.1 i PCI DSS 4.0”. Dokument ten znajduje się w bibliotece PCI SSC i daje pełny obraz i opis różnic pomiędzy wersjami PCI DSS 3.2.1 i 4.0. Zawiera również tablicę „Podsumowanie nowych wymagań” z pełnym wykazem nowości, zakresem ich zastosowania i datą wejścia w życie.Oprócz „Skróconego opisu zmian” standard zawiera wiele nowych i rozbudowanych zaleceń. Te dodatkowe informacje pomagają zrozumieć wymagania i wyjaśniają nowe koncepcje wprowadzone w standardzie PCI DSS 4.0, takie jak „Analiza ryzyka docelowego” i „Kontrola bezpieczeństwa sieci”.Organizacje wykorzystujące kwestionariusz samooceny (SAQ) również powinny przeanalizować cały standard, ponieważ szczegółowe zalecenia dotyczące poszczególnych wymagań nie są zawarte w dokumentach SAQ. Kwestionariusz SAQ także został zaktualizowany, zatem ważne jest, by podmioty objęte samooceną przeanalizowały jego nową wersję i zrozumiały pełny zakres zmian.
3. Po zrozumieniu wszystkich wymagań wersji PCI DSS 4.0 należy przeanalizować zmiany, które musi przejść organizacja. Jak przejście na nową wersję 4.0 wpłynie na całokształt procesów biznesowych i infrastruktury informatycznej? Możliwe, że organizacja już spełnia pewne wymagania wersji 4.0, więc priorytety można będzie wyznaczyć tam, gdzie zmiany są najbardziej potrzebne. Skupienie się na tym pozwoli zaoszczędzić czas i pieniądze.Poznanie szczegółów zmian jest bardzo korzystne. Zalecamy, by zrobić to w najbliższym czasie. Dzięki temu organizacja będzie lepiej przygotowana do przejścia na standard PCI DSS 4.0 w skuteczny sposób.
4. Przechodząc na standard PCI DSS 4.0, należy ocenić, jakie podejście do certyfikacji będzie dla organizacji najkorzystniejsze. Są dwie możliwości: podejście standardowe lub indywidualne. Podejście standardowe polega na zastosowaniu tradycyjnych sposobów wdrażania i potwierdzania zgodności z wymaganiami standardu PCI DSS według procedur ustalonych przez standard. Podejście indywidualne pozwala organizacjom tworzyć własne systemy bezpieczeństwa, które można wykorzystywać do uwzględniania specyficznych wymagań. Rozważając zastosowanie indywidualnego podejścia, przed próbą jego potwierdzenia należy zapewnić prawidłowe zrozumienie wymagań i sprawdzić, czy wdrożenie jest zgodne z wymaganiami dodatkowej analizy ryzyka i dokumentacji.Jeżeli do spełnienia wymagań standardu PCI DSS 3.2.1 wykorzystywane są kompensujące mechanizmy kontroli, należy przeanalizować nowe wymagania i sposoby potwierdzania z wersji 4.0, aby ustalić, jakie podejście jest najlepsze.W efekcie wybór właściwego podejścia do certyfikacji będzie zależeć od strategii bezpieczeństwa organizacji oraz sposobu zarządzania ryzykiem. Należy starannie rozważyć obie możliwości, aby wybrać najlepsze podejście dla danej organizacji.
5. O przechodzeniu na nową wersję standardu PCI DSS 4.0 należy poinformować kierowników wszystkich działów uczestniczących w procesie certyfikacji. Należy upewnić się, że wiedzą, jaka jest ich rola, co muszą zrobić i czego powinni oczekiwać. Zakres obowiązków dotyczących całego procesu certyfikacji powinien zostać ściśle określony.Skuteczne zarządzanie projektem jest kluczem do sukcesu. Obejmuje to trzymanie się planu działań i weryfikację wyników.Ważna rada: wszystko należy dokumentować. Konieczne jest ustalenie zasad i procedur zapewniających stałe i systematyczne stosowanie mechanizmów kontroli bezpieczeństwa. Standard PCI DSS 4.0 zawiera także pewne nowe wymagania dotyczące dokumentacji — warto mieć to na uwadze i uwzględniać w swojej pracy.
6. Wdrażając wszystkie mechanizmy niezbędne do przejścia na standard PCI DSS 4.0, ważne jest, by zwrócić się do profesjonalnych audytorów, którzy pomogą w szybkiej certyfikacji zgodności. Polecamy współpracę z rzetelnym zespołem firmy IT Specialist posiadającym wieloletnie doświadczenie i nienaganną reputację.Oferujemy technologie i rozwiązania, które przetestowano i pozytywnie zweryfikowano pod względem zgodności ze standardami bezpieczeństwa danych płatniczych. PCI SSC publikuje wykazy produktów i rozwiązań o potwierdzonej zgodności ze standardami PCI SSC, w tym rozwiązania Point-to-Point Encryption (P2PE), zweryfikowane oprogramowanie do płatności oraz urządzenia do przetwarzania transakcji z wykorzystaniem kodów PIN (PTS Devices).
7. Najlepszą metodą przygotowania się do audytu PCI DSS jest przeprowadzenie samooceny. Należy rozpocząć jak najszybciej. Im więcej czasu poświęci się na przygotowania, tym bardziej skuteczny i pomyślny będzie audyt.Regularne powtarzanie samooceny pomoże ustalić obszary, które wymagają poprawy. Pozwoli to uzmysłowić sobie, jak należy określić priorytety dotyczące usuwania problemów.Regularne testy penetracyjne również pomogą sprawdzić, jak działają mechanizmy bezpieczeństwa wszystkich ocenianych systemów i obszarów.
8. Standard PCI DSS 4.0 opracowano w celu wsparcia długoterminowych, ciągłych procesów zapewniających bezpieczeństwo danych płatniczych. Dodatkowa elastyczność, dostępna po raz pierwszy w standardzie PCI DSS 4.0, pozwala organizacjom na wybór mechanizmów kontroli, które najlepiej spełniają wszystkie ich potrzeby biznesowe i wymagania bezpieczeństwa. Organizacje, które skupiają się na utrzymywaniu mechanizmów kontrolnych PCI DSS przez cały rok, mogą łatwiej uniknąć sytuacji, w których po krótkich okresach zgodności następują naruszenia bezpieczeństwa i pojawia się konieczność ogólnej poprawy po każdej ocenie.Skupiając się na bezpieczeństwie i traktując je jako ciągły proces, organizacje mogą zapewnić sobie spokój podczas certyfikacji na zgodność ze standardem PCI DSS 4.0 i zmniejszyć ryzyko wystąpienia problemów związanych z cyberbezpieczeństwem.
9. Przedstawiciele organizacji, które przeszły już certyfikację, wiedzą, że trudno jest zapewnić zgodność ze standardem PCI DSS przez długi czas. Infrastruktura informatyczna przypomina żywy organizm, który ciągle się zmienia. Zmiany te należy obserwować w czasie rzeczywistym. Właśnie do tego przeznaczone jest oprogramowanie pozwalające śledzić zmiany w środowisku kart płatniczych i zapewnić, że wszystkie elementy infrastruktury informatycznej są zgodne z wymaganiami standardu. Polecamy opracowane przez nas rozwiązanie ITS Inventory, które można łatwo zintegrować z własną infrastrukturą informatyczną bez dodatkowego oprogramowania pośredniczącego. W efekcie menedżerowie odpowiedzialni za infrastrukturę informatyczną i bezpieczeństwo informacji otrzymują wygodny interfejs pozwalający na śledzenie aktualnego stanu zgodności oraz określanie nieprawidłowości z możliwością ich usunięcia. Warto zwrócić uwagę na to, że śledzenie odbywa się w czasie rzeczywistym. ITS Inventory ma funkcję importu biblioteki standardów zewnętrznych. Następuje przy tym automatyczna weryfikacja elementów infrastruktury pod kątem zgodności z wymaganiami audytorów. Określane są zarówno zgodne, jak i niezgodne elementy. Interfejs użytkownika oprogramowania ITS Inventory oferuje raport zgodności pozwalający szybko znajdować i usuwać problemy. Biblioteka standardów zewnętrznych ITS Inventory obejmuje wszystkie najpopularniejsze wymagania i standardy: PCI DSS 4.0, ISO 27001, NIST CSF. Ponadto firmy mogą dodawać do tej biblioteki własne standardy i wymagania.
Rozwiązanie programistyczne ITS Inventory pozwala zautomatyzować monitorowanie zgodności. Można je wykorzystywać podczas przygotowania do certyfikacji oraz zapewniania zgodności ze standardem przez cały rok. Oszczędza to czas i zasoby. To najważniejsze zalecenie, jakie możemy zaoferować!
Przedstawiliśmy najistotniejsze porady, które pomogą szybko i łatwo przejść na nową wersję standardu PCI DSS 4.0. 
Z pewnością mają Państwo dodatkowe pytania związane z certyfikacją. Zapraszamy na konsultację z profesjonalnymi audytorami firmy IT Specialist.