Nova atualização dos padrões de segurança de pagamento não tem senso de urgência (Donnie MacColl)

À medida que a COVID atingiu empresas em todo o mundo e as lojas fecharam ou deixaram de aceitar dinheiro como método de pagamento preferido, assistimos a um aumento dramático no volume de dados de cartões de pagamento. Avançando até hoje, o volume de transações on-line e
o uso de máquinas nos pontos de venda continua a aumentar. Como a maioria dos dados é mantida na nuvem, as oportunidades para ataques cibernéticos estão aumentando ao mesmo tempo, o que significa que a versão anterior do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS)
já não é suficiente.

Desde 2004, o PCI DSS garante que as organizações que processam ou armazenam informações de cartão de crédito possam fazê-lo com segurança. Após a pandemia, as orientações sobre controlos de segurança necessitavam urgentemente de uma atualização. É quando a nova versão – PCI DSS v4.0 –
foi anunciado. Embora as empresas tenham dois anos para planear a sua implementação, a maioria das empresas financeiras deve ter tudo pronto até março de 2025. No entanto, existe o risco de trabalhar com um prazo longo, uma vez que não consegue criar um sentido de urgência, e muitos
das atualizações de segurança incluídas no novo padrão são práticas que as empresas já deveriam ter implementado.

Por exemplo, “8.3.6 – Nível mínimo de complexidade para senhas quando usadas como fator de autenticação” ou “5.4.1 – Existem mecanismos para detectar e proteger o pessoal contra ataques de phishing” são listados como “atualizações não urgentes para implementar em 36 meses”.
Com o elevado nível de ameaças cibernéticas que se seguiu ao conflito russo-ucraniano, este prazo não é suficientemente rápido para aumentar o nível de proteção cibernética necessária às instituições financeiras e às empresas de retalho, o que representa uma ameaça real aos dados e à privacidade dos clientes.

Para resumir ainda mais, existem alguns números importantes e interessantes que ilustram tanto o seu alcance como as suas limitações:

• 51 e 2025 ilustram os principais problemas em torno do PCI DSS V4.0 – 51 é o número de mudanças propostas que são classificadas como “melhores práticas” entre agora e 2025, quando serão aplicadas, o que é daqui a três anos!

Vejamos mais de perto as 13 mudanças imediatas para todas as avaliações V4.0, que incluem itens como “As funções e responsabilidades para a execução de atividades são documentadas, atribuídas e compreendidas”. Estas compreendem 10 das 13 mudanças imediatas, o que significa
a maior parte das “atualizações urgentes” são basicamente pontos de responsabilização, onde as empresas aceitam que deveriam fazer algo.

E agora vamos dar uma olhada nas atualizações que “precisam entrar em vigor até março de 2025”:

• 5.3.3: As verificações antimalware são realizadas quando uma mídia eletrônica removível está em uso

• 5.4.1: Existem mecanismos para detectar e proteger o pessoal contra ataques de phishing.

• 7.2.4: Revise todas as contas de usuário e privilégios de acesso relacionados adequadamente.

• 8.3.6: Nível mínimo de complexidade para senhas quando utilizadas como fator de autenticação.

• 8.4.2: Autenticação multifatorial para todos os acessos ao CDE (ambiente de dados do titular do cartão)

• 10.7.3: Falhas de sistemas críticos de controle de segurança são respondidas prontamente

Estas são apenas seis das 51 atualizações “não urgentes”, e acho inacreditável que a detecção de ataques de phishing e o uso de verificações antimalware façam parte dessa lista. Hoje, com os ataques de phishing atingindo o nível mais alto de todos os tempos, eu esperaria que qualquer ataque financeiro global
instituição com dados sensíveis a proteger para que estes sejam implementados como requisitos essenciais e não como algo a implementar dentro de três anos.

Apesar das ameaças de multas pesadas e do risco de retirada dos cartões de crédito como método de pagamento se as organizações não cumprissem os padrões PCI, apenas algumas penalidades foram aplicadas até agora. Esperando mais três anos para implementar os novos requisitos
contido na V4.0 parece implicar uma falta de propriedade que algumas das mudanças merecem e é muito arriscado.

Entendo que isso não significa que as empresas ainda não tenham implementado algumas ou todas as atualizações. No entanto, para aqueles que ainda não o fizeram, implementar essas atualizações exigirá investimento e planejamento e, para esses fins, o PCI DSS V4.0 precisa ser mais específico.
Por exemplo, se as falhas de segurança precisam ser respondidas “prontamente”, isso significa 24 horas, 24 dias ou 24 meses? Acredito que as partes interessadas ficariam muito melhor atendidas com prazos mais específicos.

Embora o PCI DSS V4.0 represente uma boa base para o avanço do padrão, ele deveria ter sido implementado com maior urgência. É verdade que há muitas mudanças a abordar, mas uma estratégia melhor seria adoptar uma abordagem faseada, ou seja, dar prioridade às mudanças
imediatamente, dentro de 12 meses, 24 meses e 36 meses a partir de agora, em vez de dizer que todos devem entrar em vigor dentro de três anos.

Sem esta orientação, é provável que algumas organizações engavetem estes projetos para serem analisados ​​dentro de dois anos, quando o prazo do plano de implementação se aproximar. Contudo, numa época em que a criminalidade com cartões de pagamento continua a ser um risco omnipresente, há pouco
a ser obtido com o atraso.