PCI DSS 4.0 – Din väg dit
PCI DSS 4.0 har förtydligat och utvidgat var standardens krav ska appliceras jämfört med version 3.2.1. Men standarden har också utökat omfattningen på vad som berörs i kortbetalningsmiljön – exempelvis påverkar de nya kraven säkerheten i kundens webbläsare vid kortbetalningar.
De organisationer som har minst arbete med att få PCI DSS 4.0 på plats är troligen de som bara använder godkända, fysiska betalterminaler. För dem består den största utökningen av att dokumentera scopet, lista vem som utför vilken säkerhetsåtgärd och dokumentera en riskanalys som avser granskningen av kortbetalterminalerna. Har din organisation dokumentation som direkt refererar till krav i standarden så måste dokumentationen uppdateras. Det rekommenderas att så fort som möjligt gå över till PCI DSS 4.0.
Det har tillkommit många fler krav – vars omfattning har utökats – för de som bedriver e-shop. Eftersom både omfattningen som berörs av kraven, som att skydda driftmiljön och din kunds webbläsare, samt att det har tillkommit många helt nya krav, exempelvis krav på nätverksskydd, filövervakning i din kunds app och skydd mot phishing, behöver organisationen troligen starta ett implementeringsprojekt. I vår tidigare bloggartikel, ”PCI DSS 4.0: många nya krav”, listades ett flertal viktiga förändringar. Utöver dessa finns det än fler krav som nu blivit applicerbara i PCI DSS 4.0 även om kravtexten som sådan fanns redan i tidigare version, men då inte tillämpades. Detta kan, beroende på exakt hur din e-shop-lösning har realiserats, resultera i att du och/eller din leverantör av e-shopen så snart som möjligt måste sätta igång ett förbättringsprojekt för att hinna bli klar i tid. Detta kan även påverka hur ert avtal ser ut med er leverantör.
Den som är en leverantör, service provider, är troligen den som får flest uppdaterade eller nya säkerhetsåtgärder. En del leverantörer, Multi-tenant service providers (vilket är service providers som hanterar driftmiljön för flera e-shopar), kommer också få ytterligare krav från PCI DSS 4.0 appendix A1. Därför gäller det att så fort som möjligt identifiera vad som behöver utföras, tillsätta resurser och starta upp säkerhetsåtgärdsprojekt.
Vägen framåt
Vår rekommendation är att redan nu noga jämföra förändringarna mellan 3.2.1 och 4.0, men också att ta med det utökade scopet hos dig för att identifiera vilka säkerhetsåtgärder som påverkas hos just din organisation. Det gäller att planera in nödvändiga resurser för att i tid få utökade, nya och nödvändiga säkerhetsåtgärder på plats. Använder du underleverantörer för din kortbetallösning måste du försäkra dig om efterlevnad av de krav som faller på dig och att du minst årligen kontrollerar att din underleverantör efterlever PCI DSS 4.0. Alla PCI DSS-granskningar som utförs efter 31 mars 2024 måste granskas av QSA för att se till att PCI DSS 4.0-kraven har varit på plats sedan detta datum. De flesta större kravändringarna och nya krav måste vara på plats senast 31 mars 2025.
Stöd
Knowit Cybersecurity & Law erbjuder många och olika expertkompetenser inom säkerhetsåtgärder som kan underlätta ditt PCI DSS 4.0-implementeringsprojekt.
Tidigare artiklar i samma serie om PCI DSS 4.0:
PCI DSS 4.0 – nya versionen ger bättre skydd för kortbetalningar