03.03.2018
W tym artykule chcielibyśmy omówić, co nowego czeka wszystkich, którzy są w jakiś sposób związani ze standardem PCI DSS. Na co powinny przygotować się firmy, które już uzyskały certyfikat? Równie istotne jest zrozumienie, czego można oczekiwać od firm planujących pierwszą certyfikację w 2018 roku.
Przypomnijmy, czym jest standard PCI DSS.
Payment Card Industry Data Security Standard (PCI DSS) - to standard bezpieczeństwa danych przemysłu kart płatniczych. Został opracowany przez Radę Standardów Bezpieczeństwa Przemysłu Kart Płatniczych (Payment Card Industry Security Standards Council, PCI SSC), która została założona przez międzynarodowe systemy płatnicze, takie jak Visa, MasterCard, American Express, JCB i Discover.
Standard PCI DSS to zbiór wymagań dotyczących zabezpieczenia danych właścicieli kart płatniczych przechowywanych, przesyłanych i przetwarzanych w infrastrukturze informacyjnej organizacji. Standard obejmuje jedynie 12 precyzyjnych, szczegółowo określonych wymagań.
PCI DSS to standard, który ciągle się zmienia, dodawane są do niego nowe wymagania, co faktycznie odzwierciedla dynamiczny rozwój technologii informacyjnych.
Aby uwzględnić wszystkie najnowsze trendy w dziedzinie technologii informatycznych, międzynarodowe konsorcjum PCI DSS opisało proces ciągłej aktualizacji standardu w dokumencie zwanym „Cykl życia PCI DSS”. Ten cykl trwa trzy lata, w ramach którego następuje rozwój i zmiana standardu.
Standard PCI DSS 3.0 został wydany w listopadzie 2013 roku. Ta wersja okazała się niedoskonała i była poddana licznych poprawkom i korektom. W kwietniu 2015 roku, jeszcze przed zakończeniem standardowego cyklu życia PCI DSS 3.0, wydano modyfikację PCI DSS 3.1.Kolejna wersja standardu PCI DSS 4.0 miała zostać wydana w listopadzie 2016 roku. Jednak ta wersja do dziś się nie pojawiła. Według naszych ekspertów, najprawdopodobniej w 2018 roku wersja PCI DSS 4.0 nie zostanie wydana. Powodem są gorące dyskusje między ekspertami dotyczące tego, co właściwie powinien reprezentować standard PCI DSS, aby być zgodnym z współczesnymi realiami cyberbezpieczeństwa i skutecznym w zwalczaniu różnych zagrożeń cybernetycznych.Zamiast wersji PCI DSS 4.0, w kwietniu 2016 roku pojawiła się wersja standardu PCI DSS 3.2. Ta wersja jest obecnie aktualna i będzie obowiązywać przez cały rok 2018.Ważne jest, aby skupić uwagę na fakcie, że standard PCI DSS 3.2 znacznie różni się od wszystkich poprzednich wersji. Wprowadzono nowe wymagania, które zaczynają obowiązywać dopiero w 2018 roku. Firmy, które przeszły audyt i certyfikację zgodnie z wersją PCI DSS 3.2 w latach 2016-2017, miały pełne prawo ignorować te wymagania do 2018 roku.Teraz szczegółowo omówimy nowe wymagania standardu PCI DSS 3.2, które zaczęły obowiązywać w 2018 roku.
Od 31 stycznia 2018 roku każda certyfikowana firma ma obowiązek zrobić, wdrożyć lub podjąć następujące kroki:
● Dla wszystkich administratorów systemów należy wprowadzić autoryzację dwuetapową. Oznacza to, że administratorzy systemowi nie będą mogli łączyć się z serwerami tylko za pomocą nazwy użytkownika i hasła. Każdy z nich musi mieć klucz USB, kartę inteligentną lub czytnik linii papilarnych itp.● Testy penetracyjne dla systemów przetwarzających dane kartowe muszą być przeprowadzane co 6 miesięcy. W rezultacie od stycznia testy penetracyjne będą musiały być przeprowadzane dwukrotnie częściej.● Firma przechodząca certyfikację musi określić i opisać odpowiedzialność najwyższej kierownictwa za spełnienie wymagań standardu PCI DSS. Od początku 2018 roku za zgodność z wymaganiami standardu PCI DSS odpowiada dyrektor firmy, a nie specjaliści z działu technologii informacyjnych.● Wcześniej firma musiała tylko wdrożyć systemy bezpieczeństwa informacyjnego (cyberbezpieczeństwo). W 2018 roku konieczne będzie zapewnienie ciągłego funkcjonowania tych systemów, ich monitorowania, wykrywania awarii i szybkiego przywracania.● Firma musi szczegółowo opisać, jakie algorytmy, protokoły i procedury stosuje w operacjach kryptograficznych, oraz surowo przestrzegać tych procedur.● Dodatkowe wymagania są również stawiane procesowi zarządzania zmianami w infrastrukturze. Firma musi monitorować, aby nowo dodana podsieć spełniała wszystkie wymagania standardu PCI DSS 3.2.● Firma musi co pół roku przeprowadzać wewnętrzne audyty przeprowadzanych procesów zgodnie z wymaganiami standardu PCI DSS 3.2.● Od 30 czerwca 2018 roku wszystkie firmy muszą ostatecznie przejść na używanie nowego standardu szyfrowania TLS 1.2.
Pomimo braku istotnych zmian, nakłady na utrzymanie i spełnienie wszystkich wymagań standardu PCI DSS wzrosną.Aby certyfikacja zgodnie ze standardem PCI DSS w 2018 roku nie przyniosła nieprzyjemnych niespodzianek, zalecamy dokładne podejście do wyboru audytora i konsultanta.
Przypomnijmy istotne informacje, że od 1 marca 2018 roku zaczęły obowiązywać wymagania dotyczące bezpieczeństwa płatności kartowych międzynarodowej organizacji IATA. Dlatego firmom z branży turystycznej, przewozowej lub sprzedaży biletów lotniczych ważne jest zapoznanie się z nowymi wymaganiami standardu PCI DSS 3.2 i pilne przystąpienie do udanej certyfikacji.
Firma IT Specialist oferuje pełen zakres usług z zakresu zapewnienia bezpieczeństwa informacyjnego i przeprowadzi certyfikację zgodnie ze standardem PCI DSS dla Twojego biznesu. Dzięki naszej współpracy Twojej firmie nie będą zagrażać ataki hakerskie. Twój biznes będzie się rozwijać i osiągnie nowy poziom rozwoju!