PCI DSS 4.0 – “Customized Approach”
Ni har hört talas om det nya anpassade tillvägagångssättet i PCI DSS 4.0 som gör det möjligt för organisationer att möta PCI-kraven på ett alternativt sätt. Nu kan er första tanke vara att det bara har blivit lättare att klara PCI, för om något missas kan ett anpassat tillvägagångssätt användas för att komma runt det. Men så enkelt är det inte. “Customized Approach”-metoden är avsedd att uppfylla ett PCI-kravs mål på ett annat sätt än vad som anges i kravet. Snarare än en reaktion på en missad kontroll, är detta en tydligt planerad strategi för organisationen.
Från och med PCI DSS 4.0 är det möjligt att designa sina egna säkerhetsåtgärder för att uppfylla ett PCI DSS-delkrav. Tidigare har det bara varit möjligt att ha en alternativ säkerhetsåtgärd om det funnits ett ekonomiskt, legalt eller tekniskt hinder som förhindrade införandet av säkerhetsåtgärden så som den var kravställd i standarden. Nu kan organisationen välja mellan flera olika möjliga vägar för att nå kravuppfyllelse.
Antingen går det att göra som det alltid har gjorts tidigare, dvs. genom att införa standardens säkerhetsåtgärd, ”Defined Approach Requirements”. Alternativt görs det genom att använda den så kallade “Customized Approach”-metoden för säkerhetsåtgärden. Dock måste det redan nu påpekas starkt att “Customized Approach” endast är relevant för väldigt säkerhetsmogna organisationer.
Från och med nu så finns alltså för de flesta krav, men inte överallt i standarden, möjlighet att uppnå PCI DSS 4.0 efterlevnad genom ”Customized Approach Objective”. I detta stycke formuleras vad som måste uppnås för att nå kravuppfyllelse.Vägen ditt ställer väldigt höga krav på dokumentation och säkerhetsmognad. Dokumentationskraven framgår av PCI DSS 4.0 Appendix D och E. De har likhet med hur listade säkerhetsåtgärder/krav i ISO27001 hanteras, dvs. att det för varje säkerhetsåtgärd måste dokumenteras följande:
-
lista kraven/syftet,
-
vilka potentiella problem/hot som negativt kan påverka kravuppfyllelse, genomföra en riskanalys som klargör att identifierade problem/hot hanteras tillfredsställande av säkerhetsåtgärden och uppfyller kravet/syftet med säkerhetsåtgärden,
-
dokumentera hur säkerhetsåtgärden valideras,
-
hur effektiviteten följs upp för säkerhetsåtgärden och
-
bevis på att säkerhetsåtgärden är på plats och är effektiv.
Det förväntas att de säkerhetsåtgärder som syns i dokumentationen ständigt förbättras. Jämfört med ISO 27001/ISO27002 så är templates i PCI DSS 4.0 appendix E mycket mer detaljerade vilket medför att varje säkerhetsåtgärd får bra dokumentation mot standarder och krav i lagar. Vår bedömning är att denna dokumentation kommer fungera bra även i en ISO 27001 certifieringsrevision.
Det är tillåtet att blanda säkerhetsåtgärder. System x kan för samma delkrav användas för att uppfylla ”Defined Approach Requirements”, system y kan för samma delkrav använda en kompenserande säkerhetsåtgärd (CCW, Compensating Controls Worksheet) samt system z kan för samma delkrav ta fram sin säkerhetsåtgärd enligt “Customized Approach”.
Hör er organisation till dem som har en unik lösning, som kanske avskaffat den fysiska medarbetaren och istället använder AI i stor omfattning för säkerhetsåtgärden i er miljö samt att organisationen är väldigt säkerhetsmogen? Då kanske “Customized Approach” är den enda kvarstående möjligheten för er organisation att nå kravuppfyllelse mot PCI DSS 4.0.
Sammanfattningen är att “Customized Approach” troligen inte är något som skall vara förstahandsval för varje organisation. Det fungerar säkerligen mycket bättre för de flesta organisationer att uppfylla den så kallade ”Defined Approach Requirements” i PCI DSS 4.0. För den säkerhetsmogna organisation som redan är tredjepartscertifierade (eller har pågående implementeringsprojekt) mot ISO27001, och känner sig trygg med sina befintliga säkerhetsåtgärder, så kan arbetsinsatsen att uppfylla ISO27001 parallellt med att uppfylla PCI DSS 4.0 med korrekt dokumentation vara en acceptabel uppgift för att dokumentera och validera säkerhetsåtgärden. PCI DSS 4.0 ställer även höga krav på den externa revisorn (dvs. på Qualified Security Assesor – QSA) för att testa och validera kravuppfyllelse vilket medför att QSA kommer lägga ner mycket arbete för vart och ett delkrav under granskningen när “Customized Approach” har använts.
Vägen framåt
Vår rekommendation är att ni redan nu noga jämför förändringarna mellan 3.2.1 och 4.0 innan ni börjar fundera på att använda “Customized Approach” för att identifiera säkerhetsåtgärder. Det gäller att planera in nödvändiga resurser för att i tid få utökade, nya och nödvändiga säkerhetsåtgärder på plats oavsett vilken metod ni använder för att uppdatera säkerhetsåtgärden. Alla PCI DSS-granskningar som utförs efter 31 mars 2024 måste granskas av QSA för att säkerställa att kraven i PCI DSS 4.0 har varit på plats sedan detta datum. De flesta större kravändringarna och nya krav måste vara på plats senast 31 mars 2025. Vi kommer i denna bloggserie att skriva mer om nyheterna i PCI DSS v4.0.
Tidigare artiklar i samma serie om PCI DSS 4.0:
”PCI DSS 4.0 – nya versionen ger bättre skydd för kortbetalningar”