PCI SSC lança versão 4.0 do padrão de segurança de dados

Cartão ausente Fraude, Gestão de Fraudes e Crimes Cibernéticos, Gestão de Riscos de Fraude

DSS v3.2.1 Ativo até 31 de março de 2024, depois retirado por um período de 1 ano

Mihir Bagwe •
1º de abril de 2022

Padrões operacionais de referência de aceitação de pagamento atualizados (Fonte: PCI DSS)

O PCI Security Standards Council lançou o padrão de segurança de dados do setor de cartões de pagamento versão 4.0 na quinta-feira. O Conselho diz que as melhorias na versão mais recente destinam-se a combater ameaças e tecnologias em evolução, e a nova versão permitirá métodos inovadores para combater novas ameaças.

Veja também: Risco de Terceiros: Lições Log4j

Atualmente, as organizações usam o PCI DSS versão 3.2.1. O conselho prevê dois anos, até 31 de março de 2024, para que o setor realize treinamentos e forneça educação sobre a implementação das mudanças e atualizações na versão 4.0. Embora o novo padrão seja considerado a melhor prática, a versão atual do PCI DSS permanecerá ativa durante esse período. Após 31 de março de 2024, ele será desativado no próximo ano e os novos requisitos entrarão em vigor após 31 de março de 2025.

Cronograma de implementação do PCI DSS v4.0 (Fonte: PCI SSC)

A indústria global de pagamentos recebeu feedback sobre as últimas mudanças ao longo de três anos, durante os quais mais de 200 organizações forneceram mais de 6.000 sugestões para garantir que o padrão continue atendendo ao cenário de segurança de pagamentos em constante mudança, diz a dica.

“Nos últimos dois anos, o PCI Security Standards Council convidou as partes interessadas do setor de pagamentos a participar do desenvolvimento do novo PCI DSS v4.0. Os esforços colaborativos de muitos, incluindo organizações participantes e consultores de padrões de segurança qualificados, permitiram que o padrão para fornecer nova flexibilidade para atender aos requisitos à luz dos avanços tecnológicos”, diz Michael Johnson, CEO do JPMorgan Chase.

Lance Johnson, CEO do PCI SSC, diz: “O setor teve visibilidade e impacto sem precedentes no desenvolvimento do PCI DSS v4.0. Nossos stakeholders forneceram contribuições substanciais, perspicazes e diversificadas que ajudaram o conselho a avançar de forma eficaz no desenvolvimento deste versão do padrão de segurança de dados PCI.

Quais são as mudanças?

Emma Sutcliffe, vice-presidente sênior e diretora de padrões do PCI SSC, disse ao Information Security Media Group que “o PCI DSS v4.0 é mais responsivo à natureza dinâmica dos pagamentos e ao ambiente de ameaças” do que a versão anterior. Ela diz que a versão 4.0 “continua a fortalecer os princípios básicos de segurança, ao mesmo tempo em que oferece mais flexibilidade para melhor permitir várias implementações de tecnologia” e “ajudará as organizações a proteger os dados da conta agora e no futuro”.

O conselho diz que o foco principal da versão 4.0 é acompanhar “as necessidades de segurança em evolução do setor de pagamentos, promover a segurança como um processo contínuo, aumentar a flexibilidade para organizações que usam métodos diferentes para alcançar e melhorar métodos e procedimentos de validação”. Outras mudanças citadas pelo conselho incluem:

  • Terminologia de firewall atualizada para controles de segurança de rede para oferecer suporte a uma gama mais ampla de tecnologias usadas para atender aos objetivos de segurança tradicionalmente atendidos por firewalls;
  • Expansão do Requisito 8 para implementar autenticação multifator para todos os acessos ao ambiente de dados do titular do cartão;
  • Maior flexibilidade para as organizações demonstrarem como estão usando métodos diferentes para atingir os objetivos de segurança;
  • Adição de análises de risco específicas para permitir às entidades flexibilidade para definir a frequência com que realizam determinadas atividades, conforme melhor se adapte às suas necessidades de negócios e exposição ao risco.

Implemente as mudanças o mais rápido possível

Tim Erlin, vice-presidente de estratégia da Tripwire, diz que o período de transição até que o novo padrão entre em vigor em 2025 dá às organizações tempo para se ajustarem aos novos requisitos, mas também deixa espaço para maiores riscos.

“Determinar o prazo de implementação apropriado para novos requisitos de conformidade é um ato de equilíbrio. Seria ideal se a maioria das organizações adotasse as melhores práticas antes de serem exigidas”, diz ele ao ISMG.

Erlin diz que aprecia os aspectos positivos da versão 3.2.1, mas diz que abordou principalmente a configuração segura e, infelizmente, focou na mudança de senhas padrão fornecidas pelo fornecedor. “O gerenciamento de configuração segura vai muito além das senhas fornecidas pelo fornecedor, e é ótimo ver a nova versão do padrão adotar uma abordagem mais ampla do requisito”, diz ele.

Confiança zero: uma mudança bem-vinda

Erlin diz que a adoção da arquitetura de confiança zero aumentou desde que a versão anterior do PCI DSS foi lançada em 2018. No início deste ano, o Escritório de Administração e Orçamento dos EUA, consulte: US OMB. publica estratégia de confiança zero para agências federais).

“A nova versão do padrão deixa espaço para abordagens de confiança zero para autenticação e autorização com permissões para uma postura de segurança ‘analisada dinamicamente’ como um mecanismo para fornecer ‘acesso a recursos em tempo real’ como alternativa à rotação de senhas”, diz Erlin. “Acompanhar as melhores práticas de segurança cibernética é importante para evitar que as organizações reduzam a segurança para manter a conformidade”. Ele diz que a confiança zero pode ajudar a manter esse equilíbrio.

Além do padrão atualizado, o PCI SSC publicou em sua biblioteca de documentos o Resumo de alterações do PCI DSS v3.2.1 a v4.0, Modelo de relatório de conformidade v4.0, Declarações de conformidade do ROC e Perguntas frequentes do PCI DSS.

O padrão e o Resumo das Alterações em breve serão traduzidos em vários idiomas para facilitar a adoção global do padrão. Essas traduções serão publicadas nos próximos meses, entre abril e junho de 2022, diz o conselho.

Leave a Comment