Ads 468x60px

tiistai 10. syyskuuta 2013

PCI DSS -standardi tulee päivittymään versioon 3.0

Maksukorttiturvallisuuden kivijalkana tunnettu PCI DSS –standardi tulee päivittymään versioon 3.0 vuoden 2013 aikana. Osana aiempaa avoimempaa tiedottamista PCI Council on julkaissut tulevasta standardista ennakkomaistiaisen [1], joka kuvaa tulevan standardin merkittävimmät muutokset suhteessa versioon 2.0. Osittain yhteenvedon tarkoitus on tarjota PCI DSS ja PA-DSS:n piirissä oleville organisaatiolle paremmat valmiudet keskustella ehdotettutuista muutoksista syksyn tapaamisissa mutta toisaalta yhteenveto tarjoaa organisaatioille hieman lisäaikaa sovittaa omia menettelynjään vastaamaan uuden standardin vaatimuksia.

PCI Councilin dokumentin mukaan merkittävimmät teemat muutoksia suunniteltaessa ovat olleet:

  • Koulutuksen ja tietoturvatietouden tärkeyttä korostetaan. Ehdotetuilla muutoksilla pyritään parantamaan organisaation sisäisen ja ulkoisen tietoturvakoulutuksen ja –tietouden tasoa. Lisäksi muutoksilla pyritään selkiyttämään standardin vaatimuksia, jotta organisaatiot ”ymmärtäisivät” paremmin kontrollien tarkoituksen ja kuinka kontrollit tulisi toteuttaa läpi korttinumeroita käsittelevien tahojen.
  • Standardin joustavuutta lisätään. Tulevassa standardissa pyritään keskittämään kontrolleja aihealueille, jotka muodostavat suurimman riskin korttinumeroiden vuodon aiheutumiselle. Tällaisia aihealueita ovat esimerkiksi heikko käyttövaltuuksienhallinta, haittaohjelmat ja vajavainen oman tietoturvatilannekuvan hallinta. Muutokset on kuitenkin pyritty muotoilemaan siten, että organisaatiolla olisi vapaammat kädet kontrollien toteuttamiseen. Kun samalla version 3 mukaan toteutettujen kontrollien toimivuutta pyritään seuraamaan aiempaa tarkemmin, niin lopputuloksena tulisi olla paremmin organisaatiolle sopivia mutta aiempaa tehokkaampia kontrolleja.
  • Turvallisuus on jaettu vastuu. Harva toimija pystyy enää toimimaan täysin yksin, vaan korttinumeroiden käsittelyyn liittyy usein ketjullinen erilaisia yhteistyökumppaneita, tai alihankkijoita. Näinpä tulevassa standardissa pyritään painottamaan, että vastuu korttinumeroiden turvallisesta käsittelystä on yhteinen. Käytännössä tämä siis edellyttää tarkempaa vastuiden määrittämistä mutta toisaalta myös parempaa vastuun ottamista.

Yhteenvedon mukaan PCI DSS –standardin 12 perusaluetta pysyvät ennallaan, mutta päivitys sisältää useita lisävaatimuksia, joita ei ollut edellisessä versiossa. Tämä on aiheuttanut sen, että osa uusista vaatimuksista tulee pakollisen voimaan vasta 1.7.2015. Samoin, vaikka Council suosittelee organisaatioita siirtymään uuden standardin mukaiseen toimintaa mahdollisimman pian, niin version 2.0 mukaiset sertifioinnit ovat voimassa 2014 loppuun saakka.

Sinänsä hauskaa, että Council itse sanoo pyrkineensä ehdotetuilla muutoksilla parantamaan turvallisuutta ja edistävänsä turvallisuuden viemistä osaksi jokapäiväistä toimintaa. Tarkoitus ei ole ollut suinkaan luoda vaatimuksia vain vaatimusten vuoksi. (Eikös tämän pitäisi olla kaikkien turvallisuuteen tähtäävien vaatimussettien tarkoitus? :) Itselläni ei ole vielä tätä tulevaa standardiehdotusta käsillä mutta Concilin yhteenvedon ja useiden eri artikkeleiden perusteella odotan innolla tulevaa standardia. Katsotaan miten tavoitteet saadaan toteutettua.

Leppoisaa syksyn jatkoa,
Antti

Ei kommentteja:

Lähetä kommentti