از آنجایی که کووید به مشاغل در سراسر جهان رسید و مغازهها یا بسته بودند یا دیگر پول نقد را به عنوان روش ترجیحی پرداخت نمیپذیرفتند، شاهد افزایش چشمگیری در حجم دادههای کارت پرداخت بودیم. سریع به امروز، و حجم معاملات آنلاین و
استفاده از ماشین های نقطه فروش همچنان رو به افزایش است. از آنجایی که بیشتر دادهها در فضای ابری نگهداری میشوند، فرصتهای حملات سایبری به طور همزمان افزایش مییابد، به این معنی که نسخه قبلی استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS)
دیگر کافی نیست
از سال 2004، PCI DSS تضمین کرده است که سازمان هایی که اطلاعات کارت اعتباری را پردازش یا ذخیره می کنند، می توانند این کار را به صورت ایمن انجام دهند. پس از همه گیری، راهنمایی در مورد کنترل های امنیتی نیاز فوری به به روز رسانی داشت. این زمانی است که نسخه جدید - PCI DSS v4.0 -
اعلام شد. در حالی که شرکتها دو سال فرصت دارند تا اجرای خود را برنامهریزی کنند، اکثر کسبوکارهای مالی باید همه چیز را تا مارس 2025 آماده کنند. با این حال، خطر کار تا یک ضربالاجل طولانی وجود دارد، زیرا احساس فوریت ایجاد نمیکند، و بسیاری از آنها
از بهروزرسانیهای امنیتی موجود در استاندارد جدید، شیوههایی هستند که کسبوکارها باید قبلاً آن را اجرا میکردند.
به عنوان مثال، "8.3.6 - حداقل سطح پیچیدگی برای گذرواژهها هنگام استفاده به عنوان یک عامل احراز هویت" یا "5.4.1 - مکانیسمهایی برای شناسایی و محافظت از پرسنل در برابر حملات فیشینگ وجود دارد" به عنوان "بهروزرسانیهای غیر فوری برای پیادهسازی" فهرست شدهاند. در 36 ماه».
با سطح بالای تهدیدات سایبری پس از درگیری روسیه و اوکراین، این بازه زمانی به اندازه کافی سریع نیست تا سطح حفاظت سایبری مورد نیاز مؤسسات مالی و مشاغل خردهفروشی را افزایش دهد که تهدیدی واقعی برای دادهها و حریم خصوصی مشتریان است.
برای تجزیه بیشتر آن، اعداد مهم و جالبی وجود دارد که هم دامنه و هم محدودیتهای آن را نشان میدهند:
-
51 و 2025 مشکلات اصلی پیرامون PCI DSS V4.0 را نشان می دهد - 51 تعداد تغییرات پیشنهادی است که از هم اکنون تا سال 2025 که اجرا می شوند، یعنی سه سال دیگر به عنوان "بهترین عمل" طبقه بندی می شوند!
بیایید به 13 تغییر فوری برای همه ارزیابیهای V4.0 که شامل مواردی مانند «نقشها و مسئولیتهای انجام فعالیتها مستند، اختصاص داده شده و درک شدهاند» نگاه دقیقتری داشته باشیم. اینها 10 مورد از 13 تغییر فوری را شامل می شوند که به این معنی است
بخش عمده ای از "به روز رسانی های فوری" اساساً نقاط پاسخگویی هستند، جایی که شرکت ها می پذیرند که باید کاری انجام دهند.
و اکنون بیایید به به روز رسانی هایی که "باید تا مارس 2025 موثر باشند" نگاه کنیم:
-
5.3.3: اسکن های ضد بدافزار زمانی انجام می شود که از رسانه الکترونیکی قابل جابجایی استفاده می شود
-
5.4.1: مکانیسم هایی برای شناسایی و محافظت از پرسنل در برابر حملات فیشینگ وجود دارد.
-
7.2.4: تمام حساب های کاربری و امتیازات دسترسی مرتبط را به طور مناسب بررسی کنید.
-
8.3.6: حداقل سطح پیچیدگی برای رمزهای عبور زمانی که به عنوان عامل احراز هویت استفاده می شود.
-
8.4.2: احراز هویت چند عاملی برای همه دسترسی به CDE (محیط داده دارنده کارت)
-
10.7.3: خرابی های سیستم های کنترل امنیتی حیاتی به سرعت پاسخ داده می شود
اینها تنها شش مورد از 51 بهروزرسانی «غیر فوری» هستند، و به نظر من غیرقابل باور است که شناسایی حملات فیشینگ و استفاده از اسکنهای ضد بدافزار بخشی از این فهرست است. امروز، با حملات فیشینگ در بالاترین حد خود، انتظار هر گونه مالی جهانی را دارم
مؤسسه ای با داده های حساس برای محافظت از آنها به عنوان الزامات ضروری، نه چیزی که در مدت سه سال باید وجود داشته باشد.
با وجود تهدید جریمه های هنگفت و خطر حذف کارت های اعتباری به عنوان روش پرداخت در صورت عدم رعایت استانداردهای PCI، تنها چند جریمه تا کنون اعمال شده است. منتظر سه سال دیگر برای اجرای الزامات جدید
به نظر می رسد موجود در V4.0 به معنای عدم مالکیت است که برخی از تغییرات مستحق آن هستند و بسیار خطرناک است.
من قدردانی می کنم که این بدان معنا نیست که شرکت ها قبلاً برخی یا همه به روز رسانی ها را اجرا نکرده اند. با این حال، برای کسانی که این کار را نکردهاند، انجام این بهروزرسانیها نیازمند سرمایهگذاری و برنامهریزی است و برای این منظور، PCI DSS V4.0 باید دقیقتر باشد.
به عنوان مثال، اگر نیاز به پاسخگویی سریع به نقص های امنیتی باشد، آیا این به معنای 24 ساعت، 24 روز یا 24 ماه است؟ من معتقدم که با مهلتهای مشخصتر به ذینفعان خدمات بهتری داده میشود.
در حالی که PCI DSS V4.0 مبنای خوبی برای پیشبرد استاندارد است، باید با فوریت بیشتری اجرا می شد. مسلماً تغییرات زیادی وجود دارد که باید به آنها پرداخته شود، اما یک استراتژی بهتر اتخاذ یک رویکرد مرحلهای، یعنی اولویتبندی تغییرات است.
لازم است بلافاصله، در 12 ماه، 24 ماه و 36 ماه آینده به جای اینکه بگوییم همه آنها باید در مدت سه سال موثر باشند.
بدون این راهنما، به احتمال زیاد برخی از سازمانها این پروژهها را تا دو سال دیگر با نزدیک شدن به مهلت برنامه اجرایی، به حالت تعلیق در خواهند آورد. با این حال، در عصری که جرایم کارت های پرداخت همچنان یک خطر فراگیر است، کمی وجود دارد
از تاخیر به دست می آید