新型コロナウイルスが世界中のビジネスに打撃を与え、店舗が閉鎖されるか、推奨される支払い方法として現金を受け入れなくなったため、支払いカードのデータ量が劇的に増加しました。 今日に早送りすると、オンライン取引の量と
POS マシンの使用は急増し続けています。 ほとんどのデータがクラウドに保持されているため、サイバー攻撃の機会が同時に急増しています。これは、以前のバージョンの Payment Card Industry Data Security Standard (PCI DSS) が
はもはや十分ではありません。
2004 年以来、PCI DSS は、組織がクレジット カード情報を安全に処理または保存できることを保証してきました。 パンデミックの後、セキュリティ管理に関するガイダンスは緊急に更新する必要がありました。 これは、新しいバージョン – PCI DSS v4.0 –
発表されました。 企業は実装を計画するのに 2025 年間の猶予がありますが、ほとんどの金融ビジネスは XNUMX 年 XNUMX 月までにすべてを準備する必要があります。
新しい標準に含まれるセキュリティ アップデートのうち、企業がすでに実装しているはずのプラクティスが含まれています。
たとえば、「8.3.6 – 認証要素として使用する場合のパスワードの最小レベルの複雑さ」または「5.4.1 – フィッシング攻撃から人員を検出して保護するためのメカニズムが整備されている」は、「実装する緊急ではない更新」としてリストされています。 36か月で」。
ロシアとウクライナの紛争に続くサイバー脅威のレベルが高いため、この時間枠では、顧客データとプライバシーに真の脅威をもたらす金融機関や小売業者が必要とするサイバー保護のレベルを上げるには十分ではありません.
さらに詳しく説明すると、その範囲と制限の両方を示す重要で興味深い数字がいくつかあります。
-
51 と 2025 は、PCI DSS V4.0 を取り巻く主要な問題を示しています。51 は、現在から 2025 年後の XNUMX 年までに「ベスト プラクティス」として分類される提案された変更の数です。
すべての V13 アセスメントに対する 4.0 の差し迫った変更を詳しく見てみましょう。これには、「アクティビティを実行するための役割と責任が文書化され、割り当てられ、理解されている」などの項目が含まれます。 これらは、10 の即時変更のうちの 13 を構成します。つまり、
「緊急の更新」の大部分は、基本的に説明責任のポイントであり、企業は何かを行うべきであると認めています。
それでは、「2025 年 XNUMX 月までに有効にする必要がある」更新を見てみましょう。
-
5.3.3: リムーバブル電子メディアの使用時にマルウェア対策スキャンが実行される
-
5.4.1: フィッシング攻撃を検出して人員を保護するためのメカニズムが整備されている。
-
7.2.4: すべてのユーザー アカウントと関連するアクセス権限を適切に確認します。
-
8.3.6: 認証要素として使用する場合のパスワードの最小レベルの複雑さ。
-
8.4.2: CDE (カード会員データ環境) へのすべてのアクセスに対する多要素認証
-
10.7.3: 重要なセキュリティ制御システムの障害には迅速に対応する
これらは 51 件の「緊急ではない」更新のうちの XNUMX 件に過ぎず、フィッシング攻撃の検出とマルウェア対策スキャンの使用がそのリストの一部であることは信じられないことです。 今日、フィッシング攻撃がかつてないほど増加しているため、世界的な金融
機密データを保護する機関は、これらを必須要件として整備する必要があります。XNUMX 年後に整備するものではありません。
巨額の罰金の脅威と、組織が PCI 基準に準拠できなかった場合に支払い方法としてのクレジット カードが取り消されるリスクがあるにもかかわらず、これまでに実施された罰則はごくわずかです。 新しい要件を実装するためにさらに XNUMX 年間待つ
V4.0 に含まれているということは、一部の変更に値する所有権の欠如を暗示しているように思われ、リスクが高すぎます。
企業が一部またはすべての更新プログラムをまだ実装していないという意味ではないことを理解しています。 ただし、そうでない場合、これらの更新に対応するには投資と計画が必要であり、これらの目的のために、PCI DSS V4.0 はより具体的である必要があります。
たとえば、セキュリティ障害に「迅速に」対応する必要がある場合、それは 24 時間、24 日、または 24 か月のどれを意味しますか? より具体的な締め切りがあれば、利害関係者はより良いサービスを受けることができると思います。
PCI DSS V4.0 は標準を前進させるための優れた基盤となりますが、より緊急に実装する必要がありました。 確かに、取り組むべき変更はたくさんありますが、より良い戦略は、段階的なアプローチを採用することです。つまり、変更に優先順位を付けます。
12 年以内にすべて発効しなければならないと言うのではなく、今から 24 か月後、36 か月後、XNUMX か月後に直ちに要求されます。
このガイダンスがなければ、一部の組織は、実装計画の期限が近づく XNUMX 年後に検討するために、これらのプロジェクトを棚上げする可能性があります。 しかし、クレジットカード犯罪が至る所にあるリスクであり続ける時代には、
遅れから得られる。
