Поскольку COVID поразил предприятия по всему миру, а магазины были либо закрыты, либо больше не принимали наличные в качестве предпочтительного способа оплаты, мы увидели резкое увеличение объема данных платежных карт. Перенесемся на сегодняшний день, а объем онлайн-транзакций и
использование торговых автоматов продолжает расти. Поскольку большая часть данных хранится в облаке, возможности для кибератак резко возрастают, а это означает, что предыдущая версия стандарта безопасности данных индустрии платежных карт (PCI DSS)
уже недостаточно.
С 2004 года PCI DSS гарантирует, что организации, обрабатывающие или хранящие информацию о кредитных картах, могут делать это безопасно. После пандемии руководство по средствам контроля безопасности срочно нуждалось в обновлении. Именно тогда новая версия — PCI DSS v4.0 —
было объявлено. В то время как у компаний есть два года, чтобы спланировать их внедрение, большинство финансовых компаний должны иметь все необходимое к марту 2025 года.
обновлений безопасности, включенных в новый стандарт, — это методы, которые предприятия уже должны были внедрить.
Например, «8.3.6 — Минимальный уровень сложности паролей при использовании в качестве фактора аутентификации» или «5.4.1 — Имеются механизмы для обнаружения и защиты персонала от фишинговых атак» перечислены как «несрочные обновления для реализации». за 36 месяцев».
Учитывая высокий уровень киберугроз после российско-украинского конфликта, этого времени недостаточно, чтобы повысить уровень киберзащиты, необходимый финансовым учреждениям и предприятиям розничной торговли, что представляет реальную угрозу для данных клиентов и конфиденциальности.
Чтобы еще больше разбить его, есть несколько важных и интересных цифр, которые иллюстрируют как его возможности, так и ограничения:
-
51 и 2025 иллюстрируют основные проблемы, связанные с PCI DSS версии 4.0. 51 — это количество предложенных изменений, которые классифицируются как «лучшая практика» с настоящего момента до 2025 года, когда они будут введены в действие, то есть через три года!
Давайте подробнее рассмотрим 13 немедленных изменений для всех оценок версии 4.0, которые включают такие пункты, как «Роли и обязанности по выполнению действий задокументированы, назначены и поняты». Они включают 10 из 13 немедленных изменений, что означает
основная часть «срочных обновлений» — это в основном точки ответственности, когда компании признают, что они должны что-то делать.
А теперь давайте посмотрим на обновления, которые «должны вступить в силу к марту 2025 года»:
-
5.3.3. Сканирование на наличие вредоносных программ выполняется при использовании съемных электронных носителей.
-
5.4.1: Имеются механизмы для обнаружения и защиты персонала от фишинговых атак.
-
7.2.4: Проверьте все учетные записи пользователей и соответствующие права доступа соответствующим образом.
-
8.3.6: Минимальный уровень сложности паролей при использовании в качестве фактора аутентификации.
-
8.4.2: Многофакторная аутентификация для любого доступа к CDE (среде данных о держателях карт)
-
10.7.3: Оперативное реагирование на отказы критических систем управления безопасностью
Это всего лишь шесть из 51 «несрочного» обновления, и я нахожу невероятным, что обнаружение фишинговых атак и использование сканирования на наличие вредоносных программ являются частью этого списка. Сегодня, когда количество фишинговых атак достигло рекордно высокого уровня, я ожидаю, что любые глобальные финансовые
учреждению с конфиденциальными данными, которые нужно защищать, чтобы они были обязательными требованиями, а не чем-то, что нужно ввести в действие через три года.
Несмотря на угрозы огромных штрафов и риск того, что кредитные карты будут отозваны как способ оплаты, если организации не будут соблюдать стандарты PCI, до сих пор было применено лишь несколько штрафов. Ожидание еще трех лет для внедрения новых требований
содержащиеся в версии 4.0, похоже, подразумевают отсутствие права собственности, которого заслуживают некоторые изменения, и это слишком рискованно.
Я понимаю, что это не означает, что компании еще не внедрили некоторые или все обновления. Однако для тех, кто этого не сделал, внедрение этих обновлений потребует инвестиций и планирования, и для этих целей стандарт PCI DSS версии 4.0 должен быть более конкретным.
Например, если на сбои в системе безопасности нужно реагировать «незамедлительно», означает ли это 24 часа, 24 дня или 24 месяца? Я считаю, что заинтересованным сторонам было бы гораздо лучше обслуживать более конкретные сроки.
Хотя PCI DSS V4.0 представляет собой хорошую основу для продвижения стандарта, его следовало внедрить в более срочном порядке. Конечно, есть много изменений, которые необходимо решить, но лучшей стратегией было бы принятие поэтапного подхода, т. е. определение приоритетов изменений.
требуется немедленно, через 12, 24 и 36 месяцев, а не говорить, что все они должны вступить в силу через три года.
Без этого руководства, вероятно, некоторые организации отложат эти проекты, чтобы рассмотреть их через два года, когда приблизится крайний срок плана реализации. Однако в эпоху, когда преступления, связанные с платежными картами, по-прежнему представляют собой повсеместный риск,
получить от просрочки.
- финансовый муравей
- блокчейн
- блокчейн конференция финтех
- перезвон финтех
- coinbase
- Coingenius
- крипто конференция финтех
- FinTech
- финтех приложение
- Финтех инновации
- Финтекстра
- OpenSea
- PayPal
- PayTech
- платный путь
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- ПлатонДанные
- платогейминг
- razorpay
- Revolut
- Ripple
- квадратный финтех
- полоса
- тенсент финтех
- ксеро
- зефирнет
