Neue Aktualisierung der Zahlungssicherheitsstandards fehlt das Gefühl der Dringlichkeit (Donnie MacColl)

Als COVID Unternehmen auf der ganzen Welt traf und Geschäfte entweder geschlossen wurden oder Bargeld nicht mehr als bevorzugte Zahlungsmethode akzeptierten, sahen wir einen dramatischen Anstieg des Datenvolumens von Zahlungskarten. Spulen wir bis heute vor, und das Volumen der Online-Transaktionen und
Die Verwendung von Point-of-Sale-Maschinen nimmt weiter zu. Da die meisten Daten in der Cloud gespeichert werden, nehmen gleichzeitig die Möglichkeiten für Cyberangriffe zu, was bedeutet, dass die vorherige Version des Payment Card Industry Data Security Standard (PCI DSS)
reicht nicht mehr aus.

Seit 2004 stellt der PCI DSS sicher, dass Organisationen, die Kreditkarteninformationen verarbeiten oder speichern, dies sicher tun können. Nach der Pandemie bedurfte es dringend einer Aktualisierung der Leitlinien zu Sicherheitskontrollen. Dies ist, wenn die neue Version – PCI DSS v4.0 –
wurde vorgestellt. Während Unternehmen zwei Jahre Zeit haben, um ihre Implementierung zu planen, müssen die meisten Finanzunternehmen bis März 2025 alles eingerichtet haben. Es besteht jedoch die Gefahr, dass an einem langen Vorlauf gearbeitet wird, da dies kein Gefühl der Dringlichkeit schafft, und viele
der im neuen Standard enthaltenen Sicherheitsupdates sind Praktiken, die Unternehmen bereits implementiert haben sollten.

Beispielsweise werden „8.3.6 – Mindestmaß an Komplexität für Passwörter bei Verwendung als Authentifizierungsfaktor“ oder „5.4.1 – Es sind Mechanismen vorhanden, um das Personal vor Phishing-Angriffen zu erkennen und zu schützen“ als „nicht dringend zu implementierende Aktualisierungen“ aufgeführt in 36 Monaten“.
Angesichts der hohen Cyber-Bedrohungen nach dem russisch-ukrainischen Konflikt ist dieser Zeitrahmen nicht schnell genug, um das von Finanzinstituten und Einzelhandelsunternehmen benötigte Niveau des Cyber-Schutzes zu erhöhen, was eine echte Bedrohung für Kundendaten und Privatsphäre darstellt.

Um es noch weiter aufzuschlüsseln, gibt es einige wichtige und interessante Zahlen, die sowohl den Umfang als auch die Grenzen veranschaulichen:

• 51 und 2025 veranschaulichen die Kernprobleme rund um PCI DSS V4.0 – 51 ist die Anzahl der vorgeschlagenen Änderungen, die bis zum Zeitpunkt ihrer Durchsetzung im Jahr 2025, also in drei Jahren, als „Best Practice“ eingestuft werden!

Schauen wir uns die 13 sofortigen Änderungen für alle V4.0-Assessments genauer an, die Punkte wie „Rollen und Verantwortlichkeiten für die Durchführung von Aktivitäten sind dokumentiert, zugewiesen und verstanden“ enthalten. Diese umfassen 10 der 13 unmittelbaren Änderungen, was bedeutet
Der Großteil der „dringenden Updates“ sind im Grunde Verantwortlichkeitspunkte, bei denen Unternehmen akzeptieren, dass sie etwas tun sollten.

Und jetzt schauen wir uns die Updates an, die „bis März 2025 wirksam sein müssen“:

• 5.3.3: Anti-Malware-Scans werden durchgeführt, wenn elektronische Wechselmedien verwendet werden

• 5.4.1: Es sind Mechanismen vorhanden, um das Personal vor Phishing-Angriffen zu erkennen und zu schützen.

• 7.2.4: Überprüfen Sie alle Benutzerkonten und zugehörigen Zugriffsrechte entsprechend.

• 8.3.6: Mindestkomplexität von Passwörtern bei Verwendung als Authentifizierungsfaktor.

• 8.4.2: Multi-Faktor-Authentifizierung für alle Zugriffe auf die CDE (Cardholder Data Environment)

• 10.7.3: Auf Ausfälle kritischer Sicherheitskontrollsysteme wird unverzüglich reagiert

Dies sind nur sechs der 51 „nicht dringenden“ Updates, und ich finde es unglaublich, dass die Erkennung von Phishing-Angriffen und der Einsatz von Anti-Malware-Scans Teil dieser Liste sind. Heute, mit Phishing-Angriffen auf einem Allzeithoch, würde ich jeden globalen Finanzdienst erwarten
Institution mit sensiblen Daten, die geschützt werden müssen, diese als grundlegende Anforderungen zu haben, nicht etwas, das in drei Jahren vorhanden sein muss.

Trotz der Androhung hoher Bußgelder und des Risikos, dass Kreditkarten als Zahlungsmethode entzogen werden, wenn Unternehmen die PCI-Standards nicht einhalten, wurden bisher nur wenige Strafen verhängt. Warten Sie weitere drei Jahre, um die neuen Anforderungen umzusetzen
Die in V4.0 enthaltene Version scheint einen Mangel an Eigenverantwortung zu implizieren, die einige der Änderungen verdienen, und ist viel zu riskant.

Mir ist bewusst, dass dies nicht bedeutet, dass Unternehmen einige oder alle Updates noch nicht implementiert haben. Für diejenigen, die dies nicht getan haben, erfordert das Ausführen dieser Updates jedoch Investitionen und Planung, und für diese Zwecke muss PCI DSS V4.0 spezifischer sein.
Wenn beispielsweise auf Sicherheitsausfälle „umgehend“ reagiert werden muss, bedeutet das 24 Stunden, 24 Tage oder 24 Monate? Ich glaube, dass den Interessengruppen mit genaueren Fristen viel besser gedient wäre.

Obwohl PCI DSS V4.0 eine gute Basis darstellt, um den Standard voranzubringen, hätte es mit größerer Dringlichkeit implementiert werden müssen. Zugegeben, es gibt viele Änderungen, die angegangen werden müssen, aber eine bessere Strategie wäre es, einen schrittweisen Ansatz zu verfolgen, dh Änderungen zu priorisieren
sofort, in 12 Monaten, 24 Monaten und 36 Monaten von jetzt an erforderlich, anstatt zu sagen, dass sie alle in drei Jahren wirksam sein müssen.

Ohne diese Anleitung ist es wahrscheinlich, dass einige Organisationen diese Projekte zurückstellen, um sie in zwei Jahren zu prüfen, wenn die Frist für den Implementierungsplan näher rückt. In einer Zeit, in der Zahlungskartenkriminalität weiterhin ein allgegenwärtiges Risiko darstellt, gibt es jedoch wenig
aus Verspätung zu gewinnen.