नए भुगतान सुरक्षा मानक अद्यतन में तात्कालिकता की कमी है (डॉनी मैककॉल)

समय टिकट: 13 अक्टूबर, 2022 3:25 पूर्वाह्न
स्रोत नोड: 1722615

जैसा कि COVID ने दुनिया भर के व्यवसायों को प्रभावित किया, और दुकानें या तो बंद थीं या अब नकद को भुगतान के पसंदीदा तरीके के रूप में स्वीकार नहीं कर रही थीं, हमने भुगतान कार्ड डेटा की मात्रा में नाटकीय वृद्धि देखी। आज के लिए तेजी से आगे, और ऑनलाइन लेनदेन की मात्रा और
पॉइंट-ऑफ-सेल मशीनों का उपयोग लगातार बढ़ रहा है। जैसा कि अधिकांश डेटा क्लाउड में होता है, साइबर हमलों के अवसर एक ही समय में बढ़ रहे हैं, जिसका अर्थ है कि भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई डीएसएस) का पिछला संस्करण।
अब पर्याप्त नहीं है।

2004 से, PCI DSS ने यह सुनिश्चित किया है कि क्रेडिट कार्ड की जानकारी को संसाधित करने या संग्रहीत करने वाले संगठन ऐसा सुरक्षित रूप से कर सकते हैं। महामारी के बाद, सुरक्षा नियंत्रण पर मार्गदर्शन को अद्यतन करने की तत्काल आवश्यकता थी। यह तब है जब नया संस्करण - पीसीआई डीएसएस v4.0 -
घोषित किया गया था। जबकि कंपनियों के पास अपने कार्यान्वयन की योजना बनाने के लिए दो साल का समय है, अधिकांश वित्तीय व्यवसायों के पास मार्च 2025 तक सब कुछ होना चाहिए। हालांकि, एक लंबी समय सीमा तक काम करने का जोखिम है क्योंकि यह तात्कालिकता की भावना पैदा करने में विफल रहता है, और कई
नए मानक में शामिल सुरक्षा अद्यतनों में से ऐसी प्रथाएं हैं जिन्हें व्यवसायों को पहले ही लागू कर देना चाहिए था।

उदाहरण के लिए, "8.3.6 - प्रमाणीकरण कारक के रूप में उपयोग किए जाने पर पासवर्ड के लिए जटिलता का न्यूनतम स्तर" या "5.4.1 - फ़िशिंग हमलों के खिलाफ कर्मियों का पता लगाने और उनकी रक्षा करने के लिए तंत्र मौजूद हैं" को "कार्यान्वयन के लिए गैर-तत्काल अपडेट" के रूप में सूचीबद्ध किया गया है। 36 महीनों में"।
रूसी-यूक्रेनी संघर्ष के बाद साइबर खतरों के उच्च स्तर के साथ, यह समय सीमा वित्तीय संस्थानों और खुदरा व्यवसायों द्वारा आवश्यक साइबर सुरक्षा के स्तर को बढ़ाने के लिए पर्याप्त तेज़ नहीं है जो ग्राहक डेटा और गोपनीयता के लिए एक वास्तविक खतरा बन गया है।

इसे और भी आगे तोड़ने के लिए, कुछ महत्वपूर्ण और दिलचस्प संख्याएँ हैं जो इसके दायरे और सीमाओं दोनों को दर्शाती हैं:

  • 51 और 2025 पीसीआई डीएसएस वी4.0 - 51 के आसपास की मुख्य समस्याओं का वर्णन करते हैं, प्रस्तावित परिवर्तनों की संख्या है जिन्हें अब और 2025 के बीच "सर्वोत्तम अभ्यास" के रूप में वर्गीकृत किया गया है, जब वे तीन साल दूर हैं!

आइए सभी V13 आकलनों के लिए 4.0 तत्काल परिवर्तनों को करीब से देखें, जिसमें "गतिविधियों को निष्पादित करने के लिए भूमिकाएं और जिम्मेदारियां प्रलेखित, असाइन और समझी जाती हैं" जैसे आइटम शामिल हैं। इनमें 10 में से 13 तत्काल परिवर्तन शामिल हैं, जिसका अर्थ है
"तत्काल अपडेट" के थोक मूल रूप से जवाबदेही बिंदु हैं, जहां कंपनियां स्वीकार करती हैं कि उन्हें कुछ करना चाहिए।

और अब आइए उन अपडेट्स को देखें जिन्हें "मार्च 2025 तक प्रभावी होने की आवश्यकता है":

  • 5.3.3: हटाने योग्य इलेक्ट्रॉनिक मीडिया के उपयोग में होने पर एंटी-मैलवेयर स्कैन किए जाते हैं

  • 5.4.1: फ़िशिंग हमलों से कर्मियों का पता लगाने और उनकी सुरक्षा करने के लिए तंत्र मौजूद हैं।

  • 7.2.4: सभी उपयोगकर्ता खातों और संबंधित एक्सेस विशेषाधिकारों की उचित रूप से समीक्षा करें।

  • 8.3.6: प्रमाणीकरण कारक के रूप में उपयोग किए जाने पर पासवर्ड के लिए जटिलता का न्यूनतम स्तर।

  • 8.4.2: सीडीई (कार्डधारक डेटा वातावरण) में सभी पहुंच के लिए बहु-कारक प्रमाणीकरण

  • 10.7.3: महत्वपूर्ण सुरक्षा नियंत्रण प्रणालियों की विफलताओं का तुरंत जवाब दिया जाता है

ये 51 "गैर-जरूरी" अपडेट में से केवल छह हैं, और मुझे यह अविश्वसनीय लगता है कि फ़िशिंग हमलों का पता लगाना और एंटी-मैलवेयर स्कैन का उपयोग उस सूची का हिस्सा हैं। आज, फ़िशिंग हमलों के सर्वकालिक उच्च स्तर के साथ, मैं किसी भी वैश्विक वित्तीय की अपेक्षा करूंगा
संवेदनशील डेटा वाली संस्था को आवश्यक आवश्यकताओं के रूप में रखने के लिए सुरक्षित रखने के लिए, तीन साल के समय में ऐसा कुछ नहीं होना चाहिए।

भारी जुर्माने की धमकियों और भुगतान पद्धति के रूप में क्रेडिट कार्ड रखने के जोखिम के बावजूद, यदि संगठन पीसीआई मानकों का पालन करने में विफल रहे, तो अब तक केवल कुछ दंडों पर कार्रवाई की गई थी। नई आवश्यकताओं को लागू करने के लिए तीन साल और प्रतीक्षा करें
V4.0 के भीतर निहित स्वामित्व की कमी का अर्थ है कि कुछ परिवर्तन योग्य हैं और बहुत जोखिम भरा है।

मैं सराहना करता हूं कि इसका मतलब यह नहीं है कि कंपनियों ने पहले से ही कुछ या सभी अपडेट को लागू नहीं किया है। हालांकि, जिन्होंने नहीं किया है, उन अद्यतनों को क्रियान्वित करने के लिए निवेश और योजना की आवश्यकता होगी, और इन उद्देश्यों के लिए, PCI DSS V4.0 को और अधिक विशिष्ट होने की आवश्यकता है।
उदाहरण के लिए, यदि सुरक्षा विफलताओं का "तुरंत" जवाब देने की आवश्यकता है, तो क्या इसका मतलब 24 घंटे, 24 दिन या 24 महीने है? मेरा मानना ​​​​है कि अधिक विशिष्ट समय सीमा के साथ हितधारकों को बेहतर सेवा दी जाएगी।

जबकि PCI DSS V4.0 मानक को आगे बढ़ाने के लिए एक अच्छे आधार का प्रतिनिधित्व करता है, इसे अधिक तात्कालिकता के साथ लागू किया जाना चाहिए था। बेशक, बहुत सारे बदलाव हैं जिन्हें संबोधित करना है, लेकिन एक बेहतर रणनीति यह होगी कि चरणबद्ध दृष्टिकोण अपनाया जाए, यानी परिवर्तनों को प्राथमिकता दी जाए
12 महीने, 24 महीने और अब से 36 महीनों में तुरंत आवश्यक है, बजाय यह कहने के कि वे सभी तीन साल के समय में प्रभावी होने चाहिए।

इस मार्गदर्शन के बिना, यह संभावना है कि कुछ संगठन इन परियोजनाओं को दो साल के समय में स्थगित कर देंगे, जब कार्यान्वयन योजना की समय सीमा नजदीक आ जाएगी। हालाँकि, एक ऐसे युग में जब भुगतान कार्ड अपराध एक सर्वव्यापी जोखिम बना हुआ है, वहाँ बहुत कम है
विलम्ब से प्राप्त होना।

समय टिकट:

से अधिक फिनटेक्स्ट्रा