Ny opdatering af betalingssikkerhedsstandarder mangler følelse af uopsættelighed (Donnie MacColl)

Da COVID ramte virksomheder over hele verden, og butikker enten var lukkede eller ikke længere accepterede kontanter som den foretrukne betalingsmetode, oplevede vi en dramatisk stigning i betalingskortdatamængden. Spol frem til i dag, og mængden af ​​online transaktioner og
brugen af ​​salgsautomater fortsætter med at stige. Da de fleste data opbevares i skyen, stiger mulighederne for cyberangreb på samme tid, hvilket betyder, at den tidligere version af Payment Card Industry Data Security Standard (PCI DSS)
ikke længere er tilstrækkeligt.

Siden 2004 har PCI DSS sikret, at organisationer, der behandler eller opbevarer kreditkortoplysninger, kan gøre det sikkert. Efter pandemien havde vejledningen om sikkerhedskontrol et presserende behov for en opdatering. Det er, når den nye version – PCI DSS v4.0 –
blev annonceret. Mens virksomheder har to år til at planlægge deres implementering, skal de fleste finansielle virksomheder have alt på plads i marts 2025. Der er dog en risiko for at arbejde til en lang frist, da det ikke formår at skabe en følelse af uopsættelighed, og mange
af sikkerhedsopdateringerne i den nye standard er praksis, som virksomheder allerede burde have implementeret.

For eksempel er "8.3.6 - Minimumsniveau af kompleksitet for adgangskoder, når de bruges som en godkendelsesfaktor" eller "5.4.1 - Mekanismer er på plads til at opdage og beskytte personale mod phishing-angreb" som "ikke-hastende opdateringer til implementering" på 36 måneder”.
Med det høje niveau af cybertrusler efter den russisk-ukrainske konflikt, er denne tidsramme ikke hurtig nok til at hæve niveauet af cyberbeskyttelse, som finansielle institutioner og detailvirksomheder har brug for, hvilket udgør en reel trussel mod kundedata og privatliv.

For at nedbryde det endnu mere er der nogle vigtige og interessante tal, der illustrerer både dets omfang og begrænsninger:

• 51 og 2025 illustrerer kerneproblemerne omkring PCI DSS V4.0 – 51 er antallet af foreslåede ændringer, der er klassificeret som "bedste praksis" mellem nu og 2025, når de håndhæves, hvilket er tre år væk!

Lad os se nærmere på de 13 umiddelbare ændringer for alle V4.0-vurderinger, som omfatter elementer som "Roller og ansvar for at udføre aktiviteter er dokumenteret, tildelt og forstået". Disse omfatter 10 af de 13 umiddelbare ændringer, hvilket betyder
Hovedparten af ​​de "hastende opdateringer" er grundlæggende ansvarlighedspunkter, hvor virksomheder accepterer, at de burde gøre noget.

Og lad os nu se på de opdateringer, der "skal være effektive i marts 2025":

• 5.3.3: Anti-malware-scanninger udføres, når flytbare elektroniske medier er i brug

• 5.4.1: Mekanismer er på plads til at opdage og beskytte personale mod phishing-angreb.

• 7.2.4: Gennemgå alle brugerkonti og relaterede adgangsrettigheder korrekt.

• 8.3.6: Minimumsniveau af kompleksitet for adgangskoder, når de bruges som en autentificeringsfaktor.

• 8.4.2: Multi-faktor godkendelse for al adgang til CDE (kortholder datamiljø)

• 10.7.3: Fejl i kritiske sikkerhedskontrolsystemer reageres omgående

Dette er kun seks af de 51 "ikke-hastende" opdateringer, og jeg finder det utroligt, at påvisning af phishing-angreb og brug af anti-malware-scanninger er en del af denne liste. I dag, med phishing-angreb på et rekordhøjt niveau, ville jeg forvente ethvert globalt finansielt
institution med følsomme data at beskytte for at have disse på plads som væsentlige krav, ikke noget at have på plads om tre år.

På trods af truslerne om enorme bøder og risikoen for at få trukket kreditkort som betalingsmetode tilbage, hvis organisationer ikke overholder PCI-standarderne, er der indtil videre kun blevet truffet nogle få sanktioner. Venter yderligere tre år på at implementere de nye krav
indeholdt i V4.0 synes at antyde et manglende ejerskab, som nogle af ændringerne fortjener og er alt for risikabelt.

Jeg forstår, at det ikke betyder, at virksomheder ikke allerede har implementeret nogle eller alle opdateringerne. Men for dem, der ikke har gjort det, kræver det investeringer og planlægning at udføre disse opdateringer, og til disse formål skal PCI DSS V4.0 være mere specifik.
For eksempel, hvis sikkerhedsfejl skal reageres på "prompt", betyder det 24 timer, 24 dage eller 24 måneder? Jeg tror, ​​at interessenterne ville være meget bedre tjent med mere specifikke deadlines.

Mens PCI DSS V4.0 repræsenterer et godt grundlag for at flytte standarden fremad, burde den have været implementeret med større hast. Indrømmet, der er mange ændringer at tage fat på, men en bedre strategi ville være at vedtage en trinvis tilgang, dvs.
påkrævet med det samme, om 12 måneder, 24 måneder og 36 måneder fra nu i stedet for at sige, at de alle skal være effektive om tre år.

Uden denne vejledning er det sandsynligt, at nogle organisationer vil skrinlægge disse projekter for at blive set på om to år, når implementeringsplanens deadline nærmer sig. Men i en tid, hvor betalingskortkriminalitet fortsat er en allestedsnærværende risiko, er der lidt
at vinde ved forsinkelse.