새로운 지불 보안 표준 업데이트의 긴급성 부족(Donnie MacColl)

타임 스탬프 : 13 년 2022 월 3 일 오전 25:XNUMX
소스 노드 : 1722615

COVID가 전 세계 비즈니스를 강타하고 상점이 문을 닫거나 더 이상 현금을 선호하는 결제 수단으로 허용하지 않음에 따라 결제 카드 데이터 양이 급격히 증가했습니다. 오늘로 빠르게 감기, 온라인 거래량 및
POS(point-of-sale) 기계의 사용이 계속해서 급증하고 있습니다. 대부분의 데이터가 클라우드에 보관됨에 따라 사이버 공격의 기회가 동시에 급증하고 있습니다. 이는 PCI DSS(Payment Card Industry Data Security Standard)의 이전 버전이
더 이상 충분하지 않습니다.

2004년부터 PCI DSS는 신용 카드 정보를 처리하거나 저장하는 조직이 안전하게 처리할 수 있도록 보장해 왔습니다. 팬데믹 이후 보안 통제에 대한 지침은 업데이트가 시급했습니다. 이것은 새 버전인 PCI DSS v4.0일 때입니다.
발표되었다. 기업이 구현을 계획하는 데 2025년이 걸리지만 대부분의 금융 비즈니스는 XNUMX년 XNUMX월까지 모든 것이 제자리에 있어야 합니다.
새 표준에 포함된 보안 업데이트 중 일부는 기업에서 이미 구현했어야 하는 방식입니다.

예를 들어, "8.3.6 – 인증 요소로 사용될 때 암호의 최소 복잡성 수준" 또는 "5.4.1 – 피싱 공격을 감지하고 보호하기 위한 메커니즘이 마련되어 있음"은 "구현할 긴급하지 않은 업데이트"로 나열됩니다. 36개월 만에”.
러시아-우크라이나 분쟁에 따른 높은 수준의 사이버 위협으로 인해 이 기간은 고객 데이터 및 개인 정보 보호에 실질적인 위협이 되는 금융 기관 및 소매 기업이 필요로 하는 사이버 보호 수준을 높일 만큼 빠르지 않습니다.

더 자세히 설명하자면, 그 범위와 한계를 모두 보여주는 중요하고 흥미로운 숫자가 있습니다.

  • 51과 2025는 PCI DSS V4.0을 둘러싼 핵심 문제를 보여줍니다. 51은 지금부터 시행되는 2025년(XNUMX년 후) 사이에 "모범 사례"로 분류되는 제안된 변경 사항의 수입니다!

"활동 수행에 대한 역할과 책임이 문서화되고 할당되고 이해됨"과 같은 항목을 포함하는 모든 V13 평가에 대한 4.0가지 즉각적인 변경 사항을 자세히 살펴보겠습니다. 이는 10개의 즉각적인 변경 중 13개로 구성되며, 이는 다음을 의미합니다.
"긴급 업데이트"의 대부분은 기본적으로 회사가 무언가를 해야 한다고 인정하는 책임 지점입니다.

이제 "2025년 XNUMX월까지 적용되어야 하는" 업데이트를 살펴보겠습니다.

  • 5.3.3: 이동식 전자 미디어를 사용할 때 맬웨어 방지 검사가 수행됩니다.

  • 5.4.1: 피싱 공격으로부터 직원을 탐지하고 보호하기 위한 메커니즘이 마련되어 있습니다.

  • 7.2.4: 모든 사용자 계정 및 관련 액세스 권한을 적절하게 검토합니다.

  • 8.3.6: 인증 요소로 사용될 때 암호에 대한 최소 수준의 복잡성.

  • 8.4.2: CDE(카드 소지자 데이터 환경)에 대한 모든 액세스에 대한 다중 요소 인증

  • 10.7.3: 중요한 보안 제어 시스템의 장애는 신속하게 대응합니다.

이것은 51개의 "긴급하지 않은" 업데이트 중 XNUMX개에 불과하며 피싱 공격의 탐지와 맬웨어 방지 검사의 사용이 그 목록의 일부라는 사실이 믿기지 않습니다. 오늘날 피싱 공격이 사상 최고치를 기록하면서 전 세계 금융
민감한 데이터가 있는 기관은 XNUMX년 안에 마련할 것이 아니라 필수 요구 사항으로 이를 갖추도록 보호해야 합니다.

조직이 PCI 표준을 준수하지 않을 경우 막대한 벌금이 부과되고 신용 카드를 결제 수단으로 사용할 수 없게 될 위험이 있음에도 불구하고 지금까지 몇 가지 처벌만 취해졌습니다. 새로운 요구 사항을 구현하기 위해 XNUMX년 더 대기
V4.0에 포함된 일부 변경 사항은 소유권이 부족하고 너무 위험하다는 의미로 보입니다.

회사에서 업데이트의 일부 또는 전체를 아직 구현하지 않았다는 의미는 아닙니다. 그러나 그렇지 않은 사용자의 경우 이러한 업데이트를 실행하려면 투자와 계획이 필요하며 이러한 목적을 위해서는 PCI DSS V4.0이 더 구체적이어야 합니다.
예를 들어 보안 실패가 "신속하게" 대응해야 하는 경우 24시간, 24일 또는 24개월을 의미합니까? 이해 관계자들은 보다 구체적인 마감일을 정하면 훨씬 더 나은 서비스를 받을 수 있을 것이라고 생각합니다.

PCI DSS V4.0이 표준을 발전시키기 위한 좋은 기반이기는 하지만 더 시급하게 구현했어야 했습니다. 물론 해결해야 할 변경 사항이 많이 있지만 더 나은 전략은 단계적 접근 방식, 즉 변경 우선 순위를 채택하는 것입니다.
12개월, 24개월, 36개월 후 즉시 필요하며 XNUMX년 후에 모두 효력을 발휘해야 합니다.

이 지침이 없으면 일부 조직에서는 구현 계획 기한이 다가오면 XNUMX년 이내에 이러한 프로젝트를 검토하지 않을 수 있습니다. 하지만 카드결제 범죄가 계속해서 위험이 도사리고 있는 시대에
지연에서 얻을 수 있습니다.

타임 스탬프 :

더보기 핀텍스라