Processen med at opnå og vedligeholde PCI DSS-overholdelse er ikke let for nogen organisation. Uanset om det er en storstilet organisation, mellemstor virksomhed eller en lille virksomhed, kan PCI DSS være en skræmmende opgave, for den omfatter et omfattende sæt sikkerhedskrav. Opnåelse af compliance kræver en god forståelse af betalingssikkerhedsrammen og implementering af sikkerhedskontrolkravene. Organisationer, der behandler betalingskortdata, forventes at opfylde kravene PCI DSS 12 krav at sikre overholdelse og sikre betalingsmiljøet. Disse krav fungerer som retningslinjer for organisationer til at sikre deres netværk og infrastruktur mod cybertrusler og databrud. For at uddybe disse krav har vi delt nogle nyttige tips til at forberede os på PCI DSS Compliance Audit.
PCI DSS-overholdelse er en sikkerhedsstandard og -ramme håndhævet af PCI Security Standard Council, der fokuserer på at beskytte kortholders data. Standarden omfatter 12 krav skitseret af rådet, der fokuserer på tekniske og operationelle foranstaltninger til sikring af følsomme betalingskortholderdata. Organisationer forventes at implementere disse sikkerhedsforanstaltninger for at opnå og vedligeholde PCI DSS-overholdelse. Så nedenfor er de 12 krav, der er kort forklaret for en bedre forståelse af måder at forberede sig på PCI DSS Compliance.
PCI DSS-krav 1: Installer og vedligehold en firewall-konfiguration for at beskytte kortholders data
Forhandlere og tjenesteudbydere er forpligtet til at opretholde et sikkert netværk med den passende konfiguration af firewalls og routere. Dette er for at beskytte kortdatamiljøet og forhindre cyberangreb.
PCI DSS-krav 2: Brug ikke leverandørens standarder for systemadgangskoder og andre sikkerhedsparametre
Systemer og software leveres med standardadgangskoder og indstillinger. Så for at sikre sikkerheden forventes det, at handlende sikrer hærdning af organisationens systemer, netværk og enheder med stærke sikkerhedsadgangskoder og konfigurationer. Derudover forventes handlende at dokumentere systemhærdningsprocedurer og følge protokollerne i overensstemmelse hermed.
PCI DSS-krav 3: Beskyt lagrede kortholderdata
Forhandlere og tjenesteudbydere er forpligtet til at implementere passende foranstaltninger for at beskytte lagrede kortholderdata. Ved at bruge krypteringsteknikker bør PAN-dataene sikres mod databrud
PCI DSS-krav 4: Krypter transmission af kortholderdata på tværs af åbent eller offentligt netværk
Forhandlere forventes at kryptere kortholderdata under transit over et offentligt eller åbent netværk. Yderligere bør de sikre, at sikkerhedspolitikker, procedurer og processer er på plads for at håndhæve sikkerhedsforanstaltningerne og krypteringskravene.
PCI DSS-krav 5: Brug og opdater antivirussoftware eller -program
Forhandlere forventes at holde deres systemer og applikationer opdateret og sikret med installation af den nyeste antivirussoftware på enheder og applikationer. Dette er for at sikre beskyttelse mod malware og andre cyberangreb.
PCI DSS Krav 6: Udvikle og vedligeholde sikre systemer og applikationer
Gennemgang af sikkerhedsimplementeringer og installation af sikkerhedsrettelser for at mindske risici er afgørende. Regelmæssig opdatering af disse sikkerhedsrettelser er afgørende for at forhindre den potentielle risiko for et hack. Forhandlere er forpligtet til at patche alle systemerne i kortdatamiljøet og implementere sikkerhed i alle udviklingsfaser. Derudover skal processer være på plads for at opdage nye sårbarheder i systemer og applikationer.
PCI DSS-krav 7: Begræns adgangen til kortholderdata af Business Need to Know
Sælgere er forpligtet til at implementere stærke adgangskontroller for at begrænse adgangen til kortholderdata. Dette forhindrer uautoriseret adgang til følsomme kortdata og den potentielle risiko for databrud eller tyveri. Hertil skal der etableres nødvendige processer for at sikre, at adgangen til kortholders data begrænses baseret på forretningsbehov.
PCI DSS-krav 8: Identificer og godkend adgang til systemkomponenter
Adgang til systemer og data skal spores og overvåges regelmæssigt. Hver autoriseret medarbejder skal tildeles et unikt ID som en del af stærke sikkerhedskontrolforanstaltninger. Dette er for at spore aktiviteterne omkring adgang til systemer og data i kortmiljøet for at opretholde ansvarlighed
PCI DSS-krav 9: Begræns fysisk adgang til kortholderdata
Begrænsning af fysisk adgang til kortholderdata er en væsentlig del af implementeringen af sikkerhedskontrolforanstaltninger. Dette kræver implementering af on-site adgangskontrol, overvågning af logfiler og at have på plads nødvendige sikkerhedspolitikker og processer. Derudover er forhandlere forpligtet til at sikre alle enheder og systemer med fysiske sikkerhedsforanstaltninger og vedligeholde sikkerhedskopier af alle data.
PCI DSS-krav 10: Spor og overvåg al adgang til netværksressourcer og kortholderdata
PCI DSS kræver sporing og motorisering i realtid af alle adgangspunkter inklusive systemer og netværk, der omfatter kortdata. Dette er for at identificere og forhindre udnyttelse af sårbarheder og trusler mod kortdatamiljøet. For denne implantation af loggen er styring afgørende for den regelmæssige sporing af aktivitet.
PCI DSS-krav 11: Test jævnligt sikkerhedssystemer og -processer
Regelmæssig udførelse af sårbarhedsvurderinger og penetrationstest er afgørende for at teste alle systemprocesser for sårbarheder. Dette er for at sikre og opretholde et konstant sikkerhedsniveau i kortdatamiljøet. Alle systemer og processer skal testes ofte for at sikre, at datasikkerheden opretholdes hele tiden.
PCI DSS-krav 12: Oprethold en politik, der omhandler informationssikkerhed for alt personale
Ud fra et håndhævelsessynspunkt er det nødvendigt at oprette og vedligeholde politikker, der adresserer informationssikkerhedsprocesser. Alle medarbejdere og tredjepartsleverandører bør have adgang til disse politikker for bedre at kende deres ansvar. Yderligere skal informationssikkerhedspolitikken revideres årligt for at tilpasse forretningens cybersikkerhedsprogram til kravet om PCI DSS.
Nu hvor vi kender de tekniske og operationelle krav, der skal implementeres for at opnå PCI DSS, lad os se, hvordan organisationer kan forberede sig på PCI DSS Compliance Audit.
Forberedelse til PCI DSS Compliance audit kan være virkelig stressende. Det kræver minutiøse runder af vurderingsgennemgange og implementering af processer for at sikre, at den endelige revision bliver en succes. Når det er sagt, er her nogle trin, som man kan følge for at forberede sig på PCI DSS Audit og sikre, at det bliver en succes.
Antag ikke at være kompatibel – PCI DSS Compliance-krav opdateres ofte af PCI Council. Disse opdateringer er baseret på det udviklende teknologi- og trusselslandskab i branchen. Med den nyeste version af PCI DSS 4.0 skal udgives i 1. kvartal 2022, og organisationer skal være opmærksomme på de nye krav, der skal indføres og håndhæves af rådet. Uanset om du tidligere var PCI DSS-kompatibel, er det kun den kommende revision, der vil foreslå, om du fortsætter med at forblive kompatibel eller ej. Overholdelsesrevisionen er en vurdering for at verificere, om alle sikkerhedsforanstaltninger er implementeret og i overensstemmelse med det seneste datasikkerhedskrav. Så hvis du antager, at du er kompatibel baseret på din tidligere PCI DSS-revision, kan det være årsagen til, at din organisation ikke overholder kravene i den kommende revision.
Analyse af overholdelsesgab – Hvis din organisation gennemgår PCI DSS-vurdering for første gang, er det meget vigtigt for dig at identificere, hvor dit overholdelsesniveau er på "Som-is"-basis, hvad dine vigtigste mangler er og også de nødvendige investeringer. Til dette skal din organisation fortsætte med at udføre en gap-analyse i forhold til PCI DSS Compliance-kravene med det samme. Dette for at vurdere og verificere mangler i kravene og arbejde hen imod at bygge bro over hullerne i systemet. PCI DSS er en løbende proces og kræver regelmæssig gennemgang og opdatering af politikker og processer for at tilpasse forretningsdriften til sikkerhedsstandarden og cybersikkerhedsmålene. Så det er afgørende at udføre en hulanalyse og afhjælpe det potentielle compliancegab, især før den endelige revision for at sikre PCI DSS Compliance. Igen er dette ikke kun ud fra et compliance-synspunkt, men også ud fra et perspektiv om at styrke sikkerheden af systemer, netværk og infrastruktur.
Håndter alle PCI DSS-krav – Organisationer skal sikre, at de har opfyldt alle de 12 krav, der er skitseret i PCI DSS-rammen for at sikre overholdelse af sikkerhedsstandardrammen. At forstå kravene og deres implikationer er afgørende for, at organisationer kan implementere nødvendige foranstaltninger til overholdelse. Alle krav skal opfyldes fuldt ud efter behov. Manglende opfyldelse af selv et af disse krav kan resultere i en mislykket revision og manglende overholdelse af PCI DSS. Så det er obligatorisk, at de 12 krav er opfyldt, og alle nødvendige sikkerhedsforanstaltninger er implementeret i organisationens kortdatamiljø.
Opret netværks- og dataflowdiagram – Organisationer skal oprette og vedligeholde et nøjagtigt netværksdiagram for at forstå netværksforbindelsen på tværs af organisationen samt strømmen af kortdata i hele organisationens netværk. Dette giver et indblik i organisationens netværk og systemer, der håndterer kortdata, herunder lagring, behandling og transmission af kortdata. Oprettelse af et netværksdiagram med en visuel repræsentation af dataflowdiagrammet, der afspejler processen i din organisation og flowet af følsomme kortdata, hjælper med at identificere mangler i operationerne. Så baseret på et så detaljeret netværksdiagram kan organisationer prioritere sikkerhedsforanstaltninger på tværs af systemer, applikationer, netværk og alle adgangspunkter, der beskæftiger sig med kortdata.
Risikovurdering – Risikovurdering er en væsentlig og integreret del af ethvert compliance- og cybersikkerhedsprogram. Det er vigtigt, at organisationer bestemmer og forstår den risikoeksponering, de har at gøre med. Vurdering af risikoen og klassificering af risikoeksponeringsniveau baseret på sværhedsgrad er afgørende for, at virksomheden kan prioritere sin sikkerhedsimplementering. Til dette skal organisationer årligt gennemføre en risikovurdering for at identificere kritiske aktiver, der er udsat for trusler og sårbarheder. Sådanne vurderinger hjælper organisationer med at tage proaktive foranstaltninger for at sikre deres systemnetværk og data mod cybertrusler under udvikling. Det hjælper også med at tilpasse deres cybersikkerhedsprogram til PCI DSS-kravene konstant.
Dokumentpolitikker og -proces – Dokumenter vedrørende overholdelsespolitikker, processer, procedurer og leverandørkontrakter og -aftaler skal være aktuelle og opdateret fra tid til anden. Vedligeholdelse af alle relevante dokumenter som bevis i PCI DSS-revisionen er afgørende. Dokumenterne bør omfatte alle implementerede sikkerhedsforanstaltninger, procedurer og processer, der håndhæver implementeringen af overholdelsespolitikker, der er etableret i organisationen. Sådanne optegnelser viser tydeligt organisationens bestræbelser på at implementere og vedligeholde PCI DSS Compliance. PCI DSS audit involverer verificering af dokumenter relateret til procedurer, politikker og registreringer, der er relevante for implementeringen af politikker. Så organisationer skal sikre, at al dokumentation er opdateret og i overensstemmelse med den daglige drift. Det er også vigtigt at bemærke, at enhver ændring i politikkerne, procedurerne eller driftsprocessen skal dokumenteres og opdateres i registrene regelmæssigt.
Overholdelse af tredjepartsleverandører – Selvom organisationer outsourcer databehandlingsaktiviteterne til tredjepartsleverandører, er det stadig deres ansvar at sikre, at de overholder kravene. Sælgere skal sikre, at de tredjepartsleverandører, de handler med, er bevidste om deres ansvar og behandler data i overensstemmelse med PCI DSS-kravene. Manglende sikring af deres overholdelse kan også resultere i databrud og manglende overholdelse af PCI DSS for din organisation. Dette vil koste organisationen en formue, hvis de nødvendige foranstaltninger ikke implementeres for at overvåge deres aktivitet. Af disse grunde, der involverer tredjepartsleverandører og andre interessenter i compliance og cybersikkerhed, er programmet afgørende.
Udfør intern vurdering – Det er vigtigt at foretage en intern vurdering fra tid til anden for at identificere huller i processer og svagheder i systemer. Dette hjælper i afhjælpningsprocessen og bygger bro over hullerne i compliance-programmet. Udførelse af en årlig intern vurdering er afgørende, for det gør den endelige PCI DSS Compliance Audit problemfri. Organisationen vil have en bedre chance for at opnå PCI DSS Compliance ved at udføre sådanne forhåndsvurderinger og interne audits før den endelige. Organisationer vil være forberedt med nødvendige dokumenter som bevis og har implementeret sikkerhedsforanstaltninger, der er nødvendige for at sikre PCI DSS Compliance.
Endelig tanke
PCI DSS Compliance er uundgåelig for handlende og tjenesteudbydere i betalingskortindustrien. De skal hele tiden sikre, at de opfylder alle kravene og sikre overholdelse af betalingssikkerhedsstandarden og -rammerne til enhver tid. Af disse grunde anbefaler vi kraftigt, at organisationer overvejer at indsætte en professionel og erfaren overholdelseskonsulent og revisor for at sikre, at deres overholdelsesprogram er på rette spor og i henhold til PCI DSS-kravet. Regelmæssige interne revisioner og vurderinger foretaget af en erfaren fagmand afspejler din organisations engagement og indsats for at sikre kortdata og miljø og afspejler deres proaktive tilgang og initiativ til at opfylde deres overholdelsesforpligtelser til at beskytte følsomme data.
Narendra Sahoo