Vad är PCI DSS?

PCI DSS står för Payment Card Industry Data Security Standard. Det är en uppsättning säkerhetsstandarder som ska säkerställa att alla företag som accepterar, bearbetar, lagrar eller överför kreditkortsinformation upprätthåller en säker miljö. Denna standard skapades för att skydda känsliga betalkortsuppgifter, såsom kreditkortsnummer, från stöld och bedrägerier.

Ocuco-landskapet Betalkortsindustrins datasäkerhetsstandard (PCI DSS)) är en samling säkerhetsprotokoll som etablerades 2004 genom samarbete mellan Visa, MasterCard, Discover Financial Services, JCB International och American Express. Detta regelverk, som regleras av Payment Card Industry Security Standards Council (PCI SSC), är utformat för att skydda kredit- och betalkortstransaktioner från obehörig åtkomst, dataöverträdelser, och bedräglig verksamhet.

Vad är PCI DSS v4.0?

PCI DSS v4.0 är nästa utveckling av Payment Card Industry Data Security Standard (PCI DSS). Med den nya iterationen är nedan de övergripande mål som PCI Standards Security Council har fastställt för PCI v4.0.

Fortsätt att möta betalningsbranschens säkerhetsbehov
Främja kortinnehavarens säkerhet som en kontinuerlig process.
Lägg till flexibilitet och stöd för andra metoder för att förbättra betalningssäkerheten.
Förbättrade valideringsmetoder och -procedurer för att effektivisera efterlevnadsprocessen.

Dessutom beaktas följande tekniska områden för potentiella justeringar inom PCI DSS 4.0:

Autentiseringsprotokoll och lösenordsrekommendationer.
Förbättrade systemövervakningskriterier.
Vägledning om implementering av åtgärder för flerfaktorsautentisering.

Läs mer om PCI DSS 4.0-kraven här.

Tidslinje för implementering av PCI DSS 4.0

Här är vad du behöver för att komma igång med PCI DSS 4.0.

31 mars 2022

PCI DSS 4.0-version

31 mars 2024

PCI DSS 3.2.1 har utgått. Krav för bästa praxis 4.0

31 mars 2025

Obligatoriska krav för bästa praxis i PCI DSS 4.0

Förberedelser för postkvantkryptografi (PQC) med PCI DSS 4.0.

Vita huset publicerade ”National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems”, även känt som NSM-10. NSM-10 diskuterar utförligt att minska de risker som kvantdatorer kan medföra för krypteringDen beskriver olika steg som federala myndigheter måste följa när National Institute of Standards and Technology (NIST) introducerar nya postkvantkryptering (PQC) koder år 2024.

Tidslinjen för det formella antagandet av NSM-10 för den privata sektorn är inte känd. Organisationer som omfattas av PCI DSS-kompatibilitet redan uppfyller kraven 12.3.3. I PCI blir DSS 4.0 obligatorisk efter den 31 mars 2025; fram till dess är det valfritt och kan betraktas som bästa praxis.

Definierad metod av PCI DSS 4.0 för krav på kryptografiska chiffersviter och protokoll (12.3.3)

Kryptografiska chiffersviter och protokoll som används dokumenteras och granskas minst en gång var 12:e månad, inklusive åtminstone följande:

En uppdaterad inventering av alla kryptografiska chiffersviter och protokoll, inklusive syfte och var de används.
Aktiv övervakning av branschtrender gällande den fortsatta lönsamheten hos alla kryptografiska chiffersviter och protokoll.
En dokumenterad strategi för att hantera förväntade förändringar i kryptografiska sårbarheter.

Testprocedur (12.3.3)

Granska dokumentation för kryptografiska sviter och protokoll som används, intervjua personal för att verifiera dokumentationen och granska den för att säkerställa att den uppfyller alla element som anges i PCI DSS 4.0-kravet.

Varför är det viktigt att planera för postkvantkryptografi (PQC)?

Protokoll och krypteringsstyrkor kan snabbt ändras eller föråldras på grund av identifierade sårbarheter eller designfel. För att stödja nuvarande och framtida datasäkerhetsbehov måste enheter veta var kryptografi används och förstå hur de kan reagera snabbt på förändringar som påverkar styrkan hos deras kryptografiska implementeringar.

Organisationer måste förstå och förbereda sig därefter för övergången till PQC. Detta innebär att utvärdera sin nuvarande kryptografiska infrastruktur, identifiera potentiella sårbarheter och planera för att anta nya krypteringsmetoder. Genom att göra det kan organisationer minska riskerna i samband med föråldrade krypteringstekniker och säkerställa säkerheten för känsliga uppgifter, särskilt kortinnehavarinformation.

Dessutom är det avgörande att anpassa kryptografiska strategier till PCI DSS 4.0-kraven för att upprätthålla efterlevnad och skydda betalkortsdata. Detta inkluderar att implementera robusta krypteringsprotokoll, följa bästa säkerhetspraxis och hålla sig informerad om regeluppdateringar.

NSM-10 nämner att myndigheter ska utveckla en migreringsplan för att övergå till postkvantkryptografi (PQC) inom ett år efter att de nya standarderna släppts. Denna plan bör innehålla milstolpar som visar att migreringen är slutförd senast 2035.

En sådan plan kommer att fungera som bevis för den sista komponenten i krav 12.3.3: ”En dokumenterad strategi för att hantera förväntade förändringar i kryptografiska sårbarheter.” Medan PQC-migreringsplanen tar upp sårbarheter i kryptografi som är mottagliga för utnyttjande av kvantdatorer, måste även andra potentiella kryptografiska sårbarheter analyseras. Motsvarande begränsningsplaner måste dokumenteras för att säkerställa fullständig efterlevnad av krav 12.3.3. Implementering av PQC bör vara en del av dataskyddsstrategin för alla organisationer som utnyttjar kryptografi.

Branschutvecklingar

Övervakning av de viktigaste händelserna och kraven för övergången till Postkvantkryptering (PQC) och PCI DSS 4.0-efterlevnad:

Händelse Beskrivning	Schema/Krav
NIST släpper nya standarder för PQC	i 2024
Förslag om tidslinje för avveckling av kvantsårbara chiffer från handelsministern	90 dagar efter NIST-publicering
Granskning och justering av ovanstående tidslinje för avveckling	Årligen
Branschövervakning av resultat av föråldrade chiffer	Kontinuerlig övervakning krävs
Övervakning av kryptografisk chiffers livskraft	Löpande bedömning
Dokumentation av övervakningsprocedurer och resultat	Den dokumenterade proceduren med slutsatser
Stöd för PCI DSS 4.0-efterlevnad	Nödvändiga bevis för efterlevnad
Handlingsplan för NIST-avvecklingar	Bidrar till bevis för PCI-efterlevnad

Slutsats

Implementeringen av PCI DSS 4.0 är avgörande för att organisationer ska kunna förbereda sig för övergången till kvantsäker kryptografi. I takt med att cybersäkerhetshot utvecklas måste företag uppdatera sina säkerhetsstrategier för att effektivt hantera nya risker. Genom att följa PCI DSS 4.0-riktlinjerna och hålla sig informerade om branschutvecklingen kan organisationer proaktivt skydda känsliga data, även inför framstegen inom kvantberäkning.

Denna proaktiva strategi stärker säkerhetsåtgärderna och bygger förtroende bland intressenter i ett alltmer digitaliserat landskap. Att upprätthålla vaksamhet och beredskap kommer att vara avgörande för att skydda mot nya hot och säkerställa den fortsatta säkerheten för betalkortsdata.

Sammanfattningsvis kräver PCI DSS 4.0-kravet 12.3.3 att organisationer:

En dokumenterad strategi för att hantera förväntade förändringar i kryptografiska sårbarheter.
Årlig dokumentation och granskning av den kryptografi som används.
En aktuell inventering av kryptografi, inklusive syftet och var den används.
Aktiv övervakning av kryptografins användbarhet.

Sammantaget beaktar PCI DSS 4.0 bästa praxis för kryptografihantering och kryptoagilitet för att snabbt kunna reagera på framtida utvecklingar av sårbarheter i kryptografiska protokoll.