Knowit Security

Är du beredd att följa PCI DSS under 2018?

Den senaste versionen (3.2) av PCI DSS, en säkerhetsstandard inom betalkortsindustrin som syftar till att skydda betalkortsuppgifter, kom ut redan i april 2016. Fram till nu har dock ett flertal krav endast varit rekommendationer, men från den 1 februari 2018 blir dessa krav tvingande. Med andra ord är det hög tid att säkerställa att dessa rutiner är på plats inför kommande PCI DSS-granskningar. För att underlätta detta arbete har vi lyft fram de förändrade och utökade kraven som måste komma på plats innan februari 2018.

Multifaktorautentisering även för åtkomst från interna nätverk (PCI DSS 8.3)
All personal med administrativa behörigheter i den korthanterande miljön (CDE) behöver i framtiden använda sig av multifaktorautentisering för alla typer av fjärråtkomst. Förändringen består i att detta numera även innefattar fjärråtkomst till CDE från betrodda nätverk, såsom företagets kontorsnätverk eller andra betrodda nätverk.

I praktiken bör denna ändring vara relativt enkel att genomföra då alla företag som hanterar kortdata redan har någon form av lösning för multifaktorautentisering på plats.

Säkerställ att större förändringar uppfyller PCI DSS (PCI DSS 6.4.6)
Alla större systemförändringar ska följas av en verifiering så att förändringen inte har en negativ påverkan på kravuppfyllnaden av PCI DSS, inklusive tillhörande dokumentation. Här vill vi lite extra betona kravet på att dokumentationen ska hållas uppdaterad efter större förändringar - vår erfarenhet är att denna inte alltid hålls aktuell på det sätt som kravet efterfrågar.

I praktiken innebär kravet att förändringsprocessen bör inkludera någon form av avslutande kontroll eller checkpunkt för att säkerställa att alla kraven i PCI DSS uppfylls och att all dokumentation, policy, rutiner och instruktioner, är uppdaterade.

För tjänsteleverantörer (Service Providers) tillkommer även följande nya krav.

Dokumentera den kryptografiska arkitekturen (PCI DSS 3.5.1)
Tjänsteleverantören ska etablera och underhålla en beskrivning av sin kryptografiska arkitektur. Som minimum bör den inkludera:

  • Detaljer om alla algoritmer, protokoll och nycklar som används för att skydda kortdata, inklusive nyckellängd och utgångsdatum.
  • Beskrivning av varje nyckels syfte och användning.
  • Förteckning över alla system som används för nyckelhantering, till exempel HSM och/eller SCD.

I praktiken innebär detta att tjänsteleverantören behöver etablera ett nytt dokument som behöver uppdateras och underhållas regelbundet, förslagsvis i samband med nyckelceremonier och på kvartalsmässig basis.

Upptäcka och rapportera kritiska fel (PCI DSS 10.8 & 10.8.1)
Tjänsteleverantören ska etablera en process eller rutin för att upptäcka och rapportera om fel i kritiska säkerhetsstyrningssystem. Dessa inkluderar exempelvis:

  • Brandväggar
  • Intrångsdetekteringssystem (IDS/IPS)
  • FIM
  • Antivirus
  • Fysiska behörighetskontroller
  • Logiska behörighetskontroller
  • Loggningskontroller
  • Segmenteringskontroller

Ett tips är att se över rutinen för dagliga loggranskningar (10.6.1) om den kan utökas för att även säkerställa så att alla dessa styrningssystem fungerar korrekt. Det skulle kunna vara att kontrollera så att relevanta program körs och fortsätter generera loggar. I det fall att fel uppstår ska det även finnas en dokumenterad process eller rutin för att hantera situationen. Krav 10.8.1 beskriver mer ingående de steg som denna rutin bör inkludera.

Då många organisationer förlitar sig på loggning och larm för att agera på avvikande händelser i den korthanterande miljön finns en risk att viktiga händelser förbises om någon av dessa kritiska styrningssystem fallerar, eftersom dessa då slutar generera loggar.

Penetrationstestning (PCI DSS 11.3.4.1)
För tjänsteleverantörer som förlitar sig på segmentering för att minska omfattningen på sin korthanterande miljö tillkommer ett krav att segmenteringen ska penetrationstestas varje halvår, eller vid större förändringar av dessa kontroller och metoder.

I praktiken innebär det att säkerhetsfunktionen bör upphandla ett avgränsat penetrationstest som kan avropas och genomföras halvårsvis eller vid behov. Notera att denna tjänst inte behöver vara lika omfattande som de årliga penetrationstesten som ska innefatta hela infrastrukturen och samtliga applikationer. Fokus är istället att segmenteringen är på plats och fortsatt aktuell över tid.

Tydliggör den verkställande ledningens ansvar (PCI DSS 12.4)
Detta nya krav innebär att den verkställande ledningen förväntas utse en ytterst ansvarig för att organisationen uppfyller PCI DSS samt besluta om en stadga för ett complianceprogram för PCI DSS. Krav innebär att ledningen måste, genom sitt agerande, visa att de tar ansvar för att följa PCI DSS och visar detta genom en uttalad viljeinriktning.

Ett syfte med kravet är att lyfta upp frågan om PCI DSS högre upp i organisationen – i detta fall i ledningsgruppen. Man vill undvika att PCI DSS är något som hanteras uteslutande av säkerhetsfunktionen då den inte alltid har mandat och budget att genomdriva nödvändiga förändringar.

Notera att detta är ett av den nya krav som tar längst kalendertid att genomdriva vilket innebär att det, om det inte redan är på plats, bör prioriteras.

Förtydligande kring begreppet "charter": In case of an organization, a charter defines or mandates its function(s) and lays down rules for its conduct or governance. Charter outlines project specific details about timeline, scope of work, team members involved, etc. Policy talks about organizational wide, or group wide, standards and rules.

Internrevision av PCI DSS efterlevnad (PCI DSS 12.11 och 12.11.1)
Tjänsteleverantörer ska framöver genomföra kvartalsvisa internrevisioner för att säkerställa att personalen följer gällande policys, processer och rutiner. Detta skulle kunna liknas med en intern och avgränsad PCI DSS-revision. Denna granskning bör innefatta minst följande kontroller:

  • Att dagliga granskningar av loggar utförs.
  • Att det sker regelbundna granskningar av brandväggarna.
  • Att konfigurationsstandarder används för nya system.
  • Att säkerhetsvarningar analyseras och omhändertas.
  • Att förändringshanteringen efterföljs.
Notera att resultatet av internrevisionen ska dokumenteras och godkännas av den som är ytterst ansvarig för efterlevnaden av PCI DSS (se krav 12.4 ovan). Syftet med detta krav är tydligt – att införa regelbundna och kontinuerliga kontroller för att säkerställa efterlevnad av PCI DSS.

För mer information är ni alltid välkomna att kontakta oss, säkerhetskonsulterna på Knowit Insight.