PCI DSS 4.0: många nya krav

PCI DSS
MAX KORKKINEN
05.09.2022

Den uppdaterade PCI DSS 4.0 har förtydligat och utvidgat omfattningen för var standardens krav ska appliceras. Från och med uppdateringen gäller PCI DSS-krav för:
 

  • Organisationens datamiljö CDE (cardholder data environment), som består av:

    • Systemkomponenter, personer och processer som lagrar, bearbetar och överför kortinnehavardata (CHD) och/eller känsliga autentiseringsdata (SAD), och

    • systemkomponenter som kanske inte lagrar, bearbetar eller överför CHD/SAD men som har obegränsad anslutning till systemkomponenter som lagrar, bearbetar eller sänder CHD/SAD, och

    • systemkomponenter, personer och processer som kan påverka säkerheten för CDE. 

 

Onlinebutiker och leverantörer till dessa har på senare tid i ökad omfattning blivit utsatta för attacker. Dessa organisationer har i och med PCI DSS 4.0 både fått en ökad omfattning på var standardens krav ska appliceras, samt fler och tydligare krav. Tidigare kunde många, enligt kraven i PCI DSS 3.2.1, hänvisa till att de driftade sin onlinebutik hos en PCI DSS-godkänd cloudleverantör, samt att deras betallösning utfördes med hjälp av en iFrame från en PCI DSS-godkänd leverantör. Med PCI DSS 3.2.1 gick det att minska omfattningen för vad en organisation behövde uppfylla och få krav hamnade därför på onlinebutiken. PCI DSS 4.0 ställer i fortsättningen fler krav på realiseringen och driften av onlinebutiker även när stora delar hanteras av leverantörer. Här nedan listas några av dessa nya krav i PCI DSS 4.0:

  • Detta PCI DSS 4.0 krav gäller omgående för alla delkrav som återfinns inom alla kravområden: Berörda enheter måste ha roller och ansvar dokumenterade, tilldelade och förstådda (kommunicerade). För många organisationer – som butikskedjor, kontaktcenter, datacenter med flera hyresgäster och molnleverantörer – är det mer utmanande att upprätthålla en lista av det slaget. Vidare kan detta krav få omfattande dokumentation med ett stort underhållsbehov i agila organisationer. Det kan även bli problematiskt när det finns flera internationella eller parallella organisationer där roller och ansvar inte kan vara standardiserade. Det är en bra idé att börja planera hur er organisation vill ta itu med dessa krav så att ni inte blir överraskade av en granskning och av misstag utelämnar något.

  • Detta PCI DSS 4.0 krav gäller omgående (12.5 PCI DSS scope is documented and validated): Tidigare har det ofta varit den externa revisorn, dvs QSA, som har fått starta den årliga granskningen med att sammanställa organisationens scope vilket ska beskriva på vad som standardens krav ska appliceras. PCI DSS 4.0 har nu tydligt flyttat detta ansvar till organisationen, vilket innebär: att dokumentera omfattningen/lista allt som berörs/nätverksdiagram/flöden, samt att underhålla och uppdatera vid förändringar.  

  • Multifaktorautentisering (MFA) är obligatoriskt för alla roller (förutom för kunden som handlar och kassapersonal). Lösenordet ska ha minst 12 tecken. När MFA används så behöver inte lösenordet bytas regelbundet.

  • En chef måste varje halvår granska användarnas rättigheter. Även systemkonton som används av program, exempelvis för att anropa en databas, måste vara unika, ha säkerhetsåtgärder och granskas periodiskt.

  • Inga lösenord direkt i koden accepteras. När certifikat används så måste det finnas en funktion som kontrollerar att certifikatet är korrekt och gällande.

  • Det är krav på mekanismer för att upptäcka och skydda personal mot phishingattacker. Utöver krav på utbildning av personalen måste det fortsättningsvis finnas procedurer i system, exempelvis i email och chatlösningar, som ska förhindra denna typ av attacker.

  • Det är krav på automatiserad teknisk lösning för publika webbapplikationer som kontinuerligt upptäcker och förhindrar webbaserade attacker. Web application firewall (WAF) som inspekterar trafiken är en möjlig lösning vid attacker utifrån mot onlinebutikens server. Det måste också finnas metoder som ska kunna upptäcka skadligt script som verkar i kundens browser vid användning av onlinebutikens betallösning. 

  • Det finns krav på att identifiera, dokumentera och hålla all berörd programvara uppdaterad med säkerhetspatchar. Detta innebär att om programmen inkluderar framework/externa programbibliotek så måste dessa listas och övervakas för att säkerställa att all programvara är säkerhetspatchad.

  • Det krävs automatiserade mekanismer för att granska loggar för alla CDE och kritiska system (här inkluderas onlinebutik även när den använder en godkänd betallösning). Enbart manuell granskning av loggar godkänns inte längre.

  • Interna sårbarhetsgenomsökningar måste utföras via autentiserad skanning. Detta innebär att alla system som ingår måste scannas. Detta medför att scanningen måste ha administratörsbefogenheter till systemet när det behövs.

 

Vägen framåt 

Vår rekommendation är att ni redan nu noga jämför förändringarna mellan 3.2.1 och 4.0. Är ni en leverantör av lösningar till onlinebutik, B2B eller banker så behöver ni även noga granska kraven i Appendix A1 i PCI DSS 4.0 som nu har blivit applicerbara på fler uppkopplade leverantörer som levererar till mer än en kund.   

Det finns många formuleringar som har ändrats och nya krav som har tillkommit som kan påverka just er organisation. Där er organisation har utarbetat en eller flera policyer och procedurer som korshänvisar till specifika krav, kräver detta ensamt omfattande granskning och uppdatering av sådana policyer och procedurer. Det gäller att planera in nödvändiga resurser för att få utökade, nya och nödvändiga säkerhetsåtgärder på plats i tid. Alla PCI DSS-granskningar som utförs efter 31 mars 2024 måste en QSA granska att PCI DSS 4.0-kraven har varit på plats sedan detta datum. För de som har brister som upptäcks under granskningen enligt PCI DSS 4.0 kommer denna avvikelse synas i deras rapport och AOC (Attestation of Compliance). 

De flesta större kravändringarna och nya krav måste vara på plats senast 31 mars 2025. Vi kommer här fortsätta att skriva mer om nyheterna i PCI DSS v4.0. 

 

Tidigare artiklar i samma serie om PCI DSS 4.0: 

PCI DSS 4.0 – nya versionen ger bättre skydd för kortbetalningar