随着新冠疫情袭击世界各地的企业,商店要么关门,要么不再接受现金作为首选支付方式,我们看到支付卡数据量急剧增加。快进到今天,在线交易量和
销售点机器的使用继续猛增。由于大部分数据都保存在云端,因此网络攻击的机会同时激增,这意味着之前版本的支付卡行业数据安全标准 (PCI DSS)
已经不够了。
自 2004 年以来,PCI DSS 已确保处理或存储信用卡信息的组织能够安全地进行处理或存储。疫情过后,安全管控指南急需更新。这是新版本 – PCI DSS v4.0 –
被宣布。虽然公司有两年的时间来计划实施,但大多数金融企业必须在 2025 年 XNUMX 月之前将一切准备就绪。然而,存在着拖延很长时间的风险,因为它无法营造紧迫感,而且许多企业
新标准中包含的安全更新是企业应该已经实施的做法。
例如,“8.3.6 – 用作身份验证因素时密码的最低复杂性级别”或“5.4.1 – 建立检测和保护人员免受网络钓鱼攻击的机制”被列为“实施的非紧急更新” 36 个月内”。
由于俄罗斯-乌克兰冲突后网络威胁水平较高,这一时间框架还不足以提高金融机构和零售企业所需的网络保护水平,这对客户数据和隐私构成了真正的威胁。
为了进一步细分,有一些重要且有趣的数字说明了其范围和局限性:
-
51 和 2025 说明了围绕 PCI DSS V4.0 的核心问题 - 51 是从现在到 2025 年实施期间被归类为“最佳实践”的拟议变更数量,即三年后!
让我们仔细看看所有 V13 评估的 4.0 项直接变化,其中包括“记录、分配和理解执行活动的角色和职责”等项目。这些包括 10 个立即更改中的 13 个,这意味着
大部分“紧急更新”基本上都是问责点,公司承认他们应该做一些事情。
现在让我们看看“需要在 2025 年 XNUMX 月之前生效”的更新:
-
5.3.3:使用可移动电子介质时执行反恶意软件扫描
-
5.4.1:建立检测和保护人员免受网络钓鱼攻击的机制。
-
7.2.4:适当审查所有用户帐户和相关访问权限。
-
8.3.6:用作身份验证因素时密码的最低复杂程度。
-
8.4.2:对 CDE(持卡人数据环境)的所有访问进行多重身份验证
-
10.7.3:及时响应关键安全控制系统的故障
这些只是 51 个“非紧急”更新中的 XNUMX 个,令人难以置信的是,网络钓鱼攻击的检测和反恶意软件扫描的使用也出现在该列表中。今天,随着网络钓鱼攻击达到历史最高水平,我预计任何全球金融
需要保护敏感数据的机构必须将这些作为基本要求,而不是在三年内完成。
尽管存在巨额罚款的威胁,以及如果组织不遵守 PCI 标准,信用卡作为支付方式也可能被撤销的风险,但迄今为止只采取了少量处罚措施。还需等待三年才能实施新要求
V4.0 中包含的内容似乎意味着缺乏所有权,而某些更改值得进行,但风险太大。
我理解这并不意味着公司尚未实施部分或全部更新。然而,对于那些还没有这样做的人来说,执行这些更新将需要投资和规划,为此,PCI DSS V4.0 需要更加具体。
例如,如果安全故障需要“及时”响应,是指24小时、24天还是24个月?我相信,如果有更具体的期限,利益相关者会得到更好的服务。
虽然 PCI DSS V4.0 为推动该标准奠定了良好的基础,但它应该更加紧迫地实施。诚然,有很多变化需要解决,但更好的策略是采用分阶段的方法,即确定变化的优先顺序
要求立即、12个月、24个月和36个月内生效,而不是说它们必须在三年内全部生效。
如果没有这一指导,一些组织可能会搁置这些项目,以便在两年后实施计划截止日期临近时进行审查。然而,在支付卡犯罪仍然是普遍存在的风险的时代,几乎没有什么
从延迟中获得。
