Kun COVID iski yrityksiin ympäri maailmaa ja kaupat joko suljettiin tai eivät enää hyväksyneet käteistä ensisijaisena maksutapana, maksukorttitietojen määrä kasvoi dramaattisesti. Pikakelaus tähän päivään ja verkkotapahtumien määrä ja
myyntipistekoneiden käyttö lisääntyy edelleen. Koska suurin osa tiedoista on pilvessä, kyberhyökkäysten mahdollisuudet kasvavat samaan aikaan, mikä tarkoittaa, että Payment Card Industry Data Security Standardin (PCI DSS) edellinen versio
ei enää riitä.
PCI DSS on vuodesta 2004 lähtien varmistanut, että luottokorttitietoja käsittelevät tai tallentavat organisaatiot voivat tehdä sen turvallisesti. Pandemian jälkeen turvatarkastuksia koskeva ohje tarvitsi kiireesti päivitystä. Tällöin uusi versio – PCI DSS v4.0 –
ilmoitettiin. Vaikka yrityksillä on kaksi vuotta aikaa suunnitella täytäntöönpanonsa, useimmilla rahoitusalan yrityksillä on oltava kaikki valmiina maaliskuuhun 2025 mennessä. On kuitenkin olemassa vaara, että työskentely on pitkää määräaikaa, koska se ei aiheuta kiireellistä tunnetta, ja monet
uuteen standardiin sisältyvistä tietoturvapäivityksistä on käytäntöjä, jotka yritysten olisi jo pitänyt ottaa käyttöön.
Esimerkiksi "8.3.6 – salasanojen vähimmäismonimutkaisuus, kun niitä käytetään todennustekijänä" tai "5.4.1 – käytössä on mekanismeja, jotka havaitsevat ja suojaavat henkilöstöä tietojenkalasteluhyökkäyksiä vastaan" luetellaan "ei-kiireellisiksi päivityksiksi. 36 kuukaudessa”.
Venäjän ja Ukrainan konfliktin jälkeisten kyberuhkien korkean tason vuoksi tämä aika ei ole tarpeeksi nopea nostaakseen rahoituslaitosten ja vähittäiskaupan yritysten tarvitsemaa kybersuojan tasoa, mikä muodostaa todellisen uhan asiakkaiden tiedoille ja yksityisyydelle.
Jaotellaksesi sitä entisestään, on joitakin tärkeitä ja mielenkiintoisia numeroita, jotka kuvaavat sekä sen laajuutta että rajoituksia:
-
51 ja 2025 havainnollistavat PCI DSS V4.0:n ydinongelmia – 51 on ehdotettujen muutosten määrä, jotka on luokiteltu "parhaiksi käytännöiksi" tämän hetken ja vuoden 2025 välillä, kun ne pannaan täytäntöön, eli kolmen vuoden kuluttua!
Katsotaanpa tarkemmin kaikkia V13-arviointeja koskevia 4.0 välitöntä muutosta, jotka sisältävät esimerkiksi "Toimintoihin liittyvät roolit ja vastuut dokumentoidaan, määrätään ja ymmärretään". Nämä sisältävät 10 13 välittömästä muutoksesta, mikä tarkoittaa
Suurin osa "kiireellisistä päivityksistä" on pohjimmiltaan vastuullisuuspisteitä, joissa yritykset hyväksyvät, että niiden pitäisi tehdä jotain.
Ja nyt tarkastellaan päivityksiä, joiden "on oltava voimassa maaliskuuhun 2025 mennessä":
-
5.3.3: Haittaohjelmien torjuntatarkistukset suoritetaan, kun irrotettava sähköinen tietoväline on käytössä
-
5.4.1: Käytössä on mekanismeja henkilöstön havaitsemiseksi ja suojaamiseksi tietojenkalasteluhyökkäyksiä vastaan.
-
7.2.4: Tarkista kaikki käyttäjätilit ja niihin liittyvät käyttöoikeudet asianmukaisesti.
-
8.3.6: Salasanojen vähimmäismonimutkaisuus, kun niitä käytetään todennustekijänä.
-
8.4.2: Monivaiheinen todennus kaikille pääsylle CDE:hen (Cardholder Data Environment)
-
10.7.3: Kriittisten turvaohjausjärjestelmien häiriöihin reagoidaan viipymättä
Nämä ovat vain kuusi 51 "ei-kiireellisestä" päivityksestä, ja minusta on uskomatonta, että tietojenkalasteluhyökkäysten havaitseminen ja haittaohjelmien torjuntatarkistukset ovat osa tätä luetteloa. Nykyään tietojenkalasteluhyökkäysten ollessa kaikkien aikojen ennätys, odotan maailmanlaajuista rahoitusta
laitos, jolla on arkaluontoisia tietoja suojellakseen, jotta ne olisivat olennaisina vaatimuksina, ei kolmen vuoden kuluttua.
Huolimatta valtavien sakkojen uhasta ja riskistä, että luottokortit peruutetaan maksuvälineenä, jos organisaatiot eivät noudata PCI-standardeja, vain muutama rangaistus on toistaiseksi määrätty. Odotetaan vielä kolme vuotta uusien vaatimusten täytäntöönpanoa
V4.0:n sisältämät muutokset näyttävät viittaavan omistajuuden puutteeseen, jonka jotkin muutokset ansaitsevat ja ovat aivan liian riskialttiita.
Ymmärrän, että se ei tarkoita, etteivätkö yritykset olisi jo toteuttaneet joitakin tai kaikkia päivityksiä. Kuitenkin niiltä, jotka eivät ole, näiden päivitysten toteuttaminen vaatii investointeja ja suunnittelua, ja näitä tarkoituksia varten PCI DSS V4.0:n on oltava tarkempi.
Jos esimerkiksi tietoturvaongelmiin on reagoitava "viipymättä", tarkoittaako se 24 tuntia, 24 päivää vai 24 kuukautta? Uskon, että sidosryhmiä palvelisi paljon paremmin tarkemmat määräajat.
Vaikka PCI DSS V4.0 on hyvä perusta standardin eteenpäin viemiselle, se olisi pitänyt ottaa käyttöön nopeammin. On totta, että käsiteltävänä on paljon muutoksia, mutta parempi strategia olisi omaksua vaiheittainen lähestymistapa eli priorisoida muutokset
vaaditaan välittömästi, 12 kuukauden, 24 kuukauden ja 36 kuukauden kuluttua tästä hetkestä sen sijaan, että niiden kaikkien on tultava voimaan kolmen vuoden kuluttua.
Ilman tätä ohjetta jotkut organisaatiot todennäköisesti hyllyttävät nämä hankkeet tarkastettavaksi kahden vuoden kuluttua, kun toteutussuunnitelman määräaika lähestyy. Aikakaudella, jolloin maksukorttirikollisuus on kuitenkin edelleen arjen riski, sitä on vähän
hyötyä viivästyksestä.
- ant taloudellinen
- blockchain
- blockchain-konferenssi fintech
- fintech
- coinbase
- coingenius
- kryptokonferenssi fintech
- fintech
- fintech-sovellus
- fintech-innovaatio
- Fintextra
- Avoin meri
- PayPal
- paytech
- maksuväline
- Platon
- plato ai
- Platonin tietotieto
- PlatonData
- platopeliä
- partakone
- Revolut
- Ripple
- square fintech
- raita
- tencent fintech
- Xero
- zephyrnet
