V březnu letošního roku byl uzavřen vývoj standardu PCI-DSS. Co přinesla práce na jeho vývoji? V roce 2004 se sešla skupina společností vydávajících kreditní karty (American Express, Discover, JCB International, MasterCard a Visa), aby vydala první verzi PCI-DSS (Payment Card Industry Data Security Standard). Během více než 15 let od vydání verze 1.0 zakládající společnosti formalizovaly svou roli při řízení transakcí kreditními kartami zřízením rady PCI Security Standards Council (PCI-SSC). Došlo také k četným aktualizacím původního PCI-DSS verze 1.0, které zohledňují technologický pokrok a vyvíjející se kybernetické hrozby. Celkově je PCI-DSS 4.0 [5] desátou vydanou verzí standardu (předchozí verze 3.2.1 je z března 2018).
PCI Payment Card Industry Data Security Standard EMVCo Zero Trust MFA
Vývoj verze 4.0 trval tři roky (viz Obr. 1). Zpětná vazba od globálního platebního průmyslu vedla ke změnám standardu. Během tří let poskytlo více než 200 organizací přes 6 000 položek zpětné vazby [6], aby zajistily, že standard bude i nadále splňovat komplexní a neustále se měnící prostředí zabezpečení plateb. Zavedení do praxe se očekává do konce 1. kvartálu roku 2025. Implementace aktualizací nového standardu může trvat neomezeně dlouho, takže aktuální verze zůstane aktivní až do března 2024. Některé z nových požadavků budou zpočátku považovány za osvědčené postupy, ale vstoupí v platnost 31. března 2025. Po tomto datu budou v hodnocení PCI-DSS brány v úvahu jako celek.
Cesta k verzi 4.0
Již koncem loňského roku se objevily podrobnější informace o tom, co nová verze standardu přináší, aby zůstal aktuální a relevantní [1], [7] atd. (hrubý přehled viz Tab. 1). Po oficiálním vydání PCI-DSS 4.0 v 1. čtvrtletí 2022 se očekává, že se bude v několika ohledech lišit od PCI-DSS 3.2.1 (poslední verze před verzí 4.0). Největší změnou je, jak budou podniky schopny dosahovat souladu.
PCI-DSS 3.2.1 (a dřívější verze standardu) nezahrnuje jenom uvedení cílů v oblasti ochrany dat držitelů karet, ale také specifické a přísné požadavky, které diktují, jak musejí společnosti těchto cílů dosáhnout (viz Tab. 2). Jinými slovy je standard extrémně normativní. Podniky, které nejsou schopny dodržet tyto normativní kroky k dosažení souladu, musejí zavést kompenzační kontrolu – zatěžující a časově náročný postup, který vyžaduje, aby organizace šla „nad rámec“ záměru samotné primární kontroly.
PCI-DSS 4.0 zachovává stávající normativní metodu pro shodu, ale nahrazuje kompenzační ovládací prvky alternativní možností: přizpůsobenou (kastemizovanou) implementací.
Přizpůsobená implementace zohledňuje záměr cíle a umožňuje subjektům navrhnout vlastní bezpečnostní kontroly, aby jej splnily. Jakmile organizace určí bezpečnostní kontrolu pro daný cíl, musí poskytnout úplnou dokumentaci, která umožní svému kvalifikovanému bezpečnostnímu auditorovi učinit konečné rozhodnutí o účinnosti kontroly.
Další oblastí očekávaných změn bude používání cloudu a bezserverových počítačů. Základní ovládací prvky aktuální verze 3.2.1 nebyly navrženy pro současné IT prostředí, takže verze 4.0 zavede aktualizovanou sadu požadavků a přístupů k zabezpečení cloudových a bezserverových úloh.
Podniky mohou také očekávat nové požadavky na kontrolu, jako je rozšíření šifrování dat držitelů karet při jakémkoli přenosu včetně rámce důvěryhodných sítí. Pravděpodobně dojde také k aktualizaci požadavků na kontrolu týkající se hesel, resp. přihlašovacího přístupu (tj. častější používání vícefaktorové autentizace).
Jak vyhovět PCI-DSS 4.0
Celkem 12 základních požadavků a seznam ovládacích prvků PCI-DSS 3.2.1 bude stále součástí PCI-DSS 4.0. Ale přidání možnosti přizpůsobené implementace zavádí novou flexibilitu pro společnosti, aby mohly používat širší škálu metod a technologií k dosažení příslušného cíle PCI. A nakonec mohou organizace najít levnější nebo jednodušší způsob, jak vyhovět.
Organizacím, které v současné době používají kompenzační kontrolu (kontroly), by tedy dobře posloužilo, aby vyhodnotily kompenzační kontroly (z hlediska času i úsilí) z hlediska nákladů a zjistily, zda jim jiné bezpečnostní technologie mohou pomoci dosáhnout souladu s přizpůsobenou metodou implementace.
Zavedení přizpůsobeného implementačního přístupu v PCI-DSS 4.0 poskytuje podnikům větší flexibilitu. Dokud organizace implementují řešení, která dosahují zamýšleného výsledku konkrétního cíle PCI, nejsou již nuceny dodržovat metody předepsané PCI-SSC (nebo zavádět zatěžující kompenzační kontrolu).
To otevírá dveře organizacím k vyhodnocování nových nástrojů a technologií, které mohou podporovat různé bezpečnostní požadavky v celém podniku – a mohou velmi dobře stát méně peněz a pracovat rychleji.
Očekává se zveřejnění podpůrného bezpečnostního standardu PCI pro specifikaci EMV® 3-D Secure SDK (viz Box 1), která definuje požadavky EMV® 3DS pro subjekty vyvíjející sadu 3DS Software Development Kit (SDK) pro použití v mobilních 3DS transakcích. Bezpečnostní standard PCI 3DS SDK bude určen pro vývojáře a prodejce produktů 3DS SDK a je zaměřen na zajištění toho, aby SDK bylo navrženo a vyvinuto s ohledem na bezpečnost. Při testování mohou být vyžadovány požadavky DESV (Designated Entities Supplemental Validation) pro všechny entity, nejen pro ty kompromitované.
Aplikace kryptografie
Nová verze se zaměřuje na dynamické prosazení principu Zero Trust (viz Box 2) pro autentizaci a autorizaci s oprávněními pro analytickou pozici a poskytuje přístup ke zdrojům v reálném čase jako alternativu k rotaci hesel.
Především proběhla revize osvědčených postupů pro hesla a MFA (multifaktorová autentizace). MFA může být vyžadována pro všechny účty, nejen pro administrátory. Termín „firewall“ byl zaměněn termínem „network security control“, čímž pokrývá širší možnost bezpečnostních technologií.
Hesla aplikací a systémů se musejí měnit každých 12 měsíců. Zvýšená je složitost hesel a přístupových frází – včetně porovnání se seznamem známých špatných hesel. Účty dodavatelů jsou aktivní pouze v případě potřeby a sledovány, když se používají.
Verze 4.0 PCI-DSS požaduje u hesel minimálně 15 znaků, číselných i abecedních, porovnávání se seznamem známých špatných hesel atd., stručně řečeno je délka hesel preferovaná před jejich složitostí.
V oblasti kryptografických metod se PCI-DSS dlouhodobě inspiruje materiály NIST [3]. Např. v [2] se nedoporučuje použití nápovědy k heslu a pokusy o zadání hesla se mají co nejvíce omezit, mají se rovněž opustit požadavky na pravidelné změny hesel, naopak zobrazení hesel při jejich psaní a vkládání znaků se mají povolit.
Požadavky na šifrování se rozšířily na všechna data držitelů karet a také na skenování a zjišťování PAN (Personal Area Network) každých 12 měsíců.
Závěr
Zvládnout PCI-DSS znamená prostudovat i celou řadu doplňujících materiálů. Webová stránka Security Standards Councilu2 poskytuje potřebné zdroje, které organizacím pomáhají s hodnocením a ověřováním PCI-DSS. PCI-DSS Resource Hub3 poskytuje kromě odkazů na standardní dokumenty navíc materiály užitečné pro vzdělávání uživatelů PCI-DSS.
Poznámky pod čarou:
- Jediný rozdíl mezi QSA a ISA je ten, že ISA je zaměstnán posuzovanou organizací.
- www.pcisecuritystandards.org
- https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub
Použité zdroje:
[ 1 ] GLOVER, Galy. PCI DSS v4.0: The Future of the Payment Card Industry Security Standard. Security Metrics, September 23–24 2021. Dostupné z: https://www.securitymetrics.com/blog/PCI-DSS-v4-payment-card-industry-security-standard
[ 2 ] GRASSI, Paul etc., A. NIST Special Publication 800-63B. Digital Identity Guidelines. Authentication and Lifecycle Management. June 2017 Includes updates as of 03-02-2020. Dostupné z: https://pages.nist.gov/800-63-3/sp800-63b.html
[ 3 ] Mapping PCI DSS v3.2.1 to the NIST Cybersecurity Framework v1.1. PCI JULY 2019. Dostupné z: https://www.pcisecuritystandards.org/pdfs/Mapping-PCI-DSS-to-NIST-Framework.pdf
[ 4 ] Payment Card Industry 3-D Secure (PCI 3DS). November 2017. Dostupné z: https://www.pcisecuritystandards.org/documents/FAQs_for_PCI_3DS_Core_Security_Standard.pdf
[ 5 ] Payment Card Industry Data Security Standard. Requirements and Testing Procedures. PCI Security Standarda Council Version 4.0 March 2022. Dostupné z: https://www.pcisecuritystandards.org/documents/PCI-DSS-v4_0.pdf?agreement=true&time=1648917990942
[ 6 ] Securing the Future of Payments: PCI SSC Publishes PCI Data Security Standard v4.0. Mar 31, 2022. Dostupné z: https://www.prnewswire.com/ news-releases/securing-the-future-of-payments-pci-ssc-publishes-pci-data-security-standard-v4-0--301515073.html
[ 7 ] YADAV, Anita. The Complete Guide to PCI-DSS 4.0, Colortokens Dec 21, 2021. Dostupné z: https://colortokens.com/blog/pci-dss-4-0
[ 8 ] What Awaits Us with the PCI DSS 4.0 Timeline Release? PurpleBox July 07, 2021. Dostupné z: https://www.prplbx.com/resources/blog/pci-dss-v4/