Nu är den uppdaterade och förbättrade PCI DSS 4.0-standarden gällande. Krav på att uppfylla standarden omfattar alla handlare och deras leverantörer av betalkortlösningar. Kravställande på dessa aktörer är alla kreditkortsföretag tillsammans samt banker som hanterar kortbetalningar.
De fyra huvudorsakerna till att uppdatera standarden PCI DSS är:
-
Säkerställa att standarden även i fortsättningen möter betalningsbranschens behov av säkerhetsåtgärder
-
Lägga till flexibilitet och stöd för ytterligare metoder för att uppnå säkerhet
-
Förbättra valideringsmetoder och procedurer
-
Främja säkerhet som en kontinuerlig process
Den första stora nyheten i PCI DSS 4.0 framkommer redan i de uppdaterade rubrikerna för de 12 kravområdena. Det har skett en scoop- eller kravutvidgning genom att det har förtydligats vad som innefattas i kravområdet, se jämförelsen:
Den andra stora ändringen behöver redan här uppmärksammas. PCI DSS 4.0 har lagt in krav på transparens för brister i kravuppfyllande som upptäcks under den årliga granskningen. Som tidigare gäller att alla krav måste vara uppfyllda när revisionen avslutas. Det som har tillkommit i standarden är att i revisionsrapporten måste varje observerad avvikelse, som identifieras av QSA under revisionen, beskriva avvikelsen och vad som har gjorts för att inte samma avvikelse ska inträffa på nytt.
Exempel på avvikelserapport: När ansvarig person för programvarupatchning lämnade organisationen har det inte genomförts säkerhetspatchningar de senaste 8 månaderna. Det har nu införts en rutin och i samband med personalskifte kontrolleras avgående persons ansvar och ansvaret förs över till tillträdande person. Vidare kontrollerar teammanagern fortsättningsvis varje månad att säkerhetsåtgärder genomförs och rapporterar status till CISO.
Liknande text måste nu skrivas in för varje krav som inte uppfylls; sedan listas berörda krav i en tabell. Denna lista på krav med funna avvikelser ska också finnas i den signerade AOC (Attestation of Compliance). En fördel med denna transparens är att, om du i ditt avtal med leverantören har skrivit in att de måste uppfylla PCI DSS-kraven, det nu finns tydlig dokumentation ifall din leverantör brutit mot gällande avtal. Din organisation ska kunna lämna ett gott helhetsintryck avseende kravuppfyllelse. Detta ställer krav på att säkerhet är en kontinuerlig process hos er och inte bara förlitar sig på den årliga revisionen som utförs av deras QSA.
Den gamla standarden upphör att gälla 31 mars 2024 och fram till dess kan din organisation välja vilken av versionerna som ska tillämpas. Det innebär att senast från detta datum måste varje organisation ha PCI DSS 4.0 på plats och ersätta den gamla PCI DSS-versionen (3.2.1), oavsett när senaste eller nästkommande rapport om kravefterlevnad ska signeras. Alla PCI DSS-granskningar som utförs efter 31 mars 2024 måste granskas av en QSA för att se till att PCI DSS 4.0 kraven har varit på plats sedan detta datum.
Vägen framåt
Vår rekommendation är att redan nu noga jämföra förändringarna mellan 3.2.1 och 4.0. Där organisationer har utarbetat policyer och procedurer som korshänvisar till specifika krav, kräver detta en omfattande granskning och uppdatering av sådana policyer och procedurer. Det gäller att planera in nödvändiga resurser för att i tid få utökade, nya och nödvändiga säkerhetsåtgärder på plats.
För nya organisationer som ska införa PCI DSS så är det en stark rekommendation att implementera PCI DSS 4.0 då den gamla standarden snabbt är på väg ut. Vidare är den nya standardens krav mycket tydligare formulerade och strukturerade, och därmed blir det lättare för organisationen att verifiera att säkerhetsåtgärderna är på rätt plats.
Slutligen finns det många ändringar i formuleringen och numreringen av kraven även där de faktiska kraven har förblivit i stort sett samma som de var i v3.2.1. De flesta större kravändringarna och nya krav måste vara på plats senast 31 mars 2025.
Missa inte kommande blogginlägg där vi kommer fortsätta skriva om nyheterna i PCI DSS 4.0.