„PCI DSS, verzija 4, podiže sigurnost platnih kartica stavljajući naglasak na kontinuirane i proaktivne mjere. Integrira se s tehnologijama koje se stalno razvijaju i uvodi pristup temeljen na riziku.
Ove temeljne promjene osiguravaju da organizacije održavaju robusnu obranu protiv cyber prijetnji i štite podatke o korisničkim računima.”
Trenutno je na snazi PCI DSS 4.01
Razvojem novih tehnologija, te posljedičnom izmjenom digitalnog ekosustava, mijenjaju se i propisi potrebni za očuvanje sigurnosti i zaštite kritičnih podataka. U posljednje vrijeme svjedočimo brojnim ažuriranjima propisa.
Najnovija verzija Standarda sigurnosti podataka platnih kartica (PCI DSS) dugo je bila u pripremi - najave promjena započele su u ožujku 2022. Poštivanje PCI DSS-a obavezno je za sve tvrtke koje obrađuju, pohranjuju ili prenose podatke o kreditnim karticama, stoga svi dionici moraju biti pripravni.
Kako bi se tvrtkama omogućilo dovoljno vremena za prilagodbu, PCI DSS v3.2.1 bio je aktivan još dvije godine nakon što je v4.0 prvotno objavljena. Ovo prijelazno razdoblje završilo je 31. ožujka 2024. Tada je PCI DSS 3.2.1 povučen, a verzija 4 (zadnja izdana podverzija je 4.01) ostaje jedina aktivna verzija standarda. Potpuno sukladnost sa svim zahtjevima PCI DSS 4.0 očekuje se do ožujka 2025.
Ovo je kratki podsjetnik da će svi zahtjevi za usklađivanje s verzijom 4.01 postati obvezujući u nadolazećim mjesecima, uz osnovni popis promjena.
PCI DSS 4 omogućuje dva pristupa
Jedna od glavnih razlika u odnosu na prijašnju verziju jest mogućnost korištenja kombinacije pristupa za upravljanje sigurnosnim zahtjevima. Konkretno, PCI DSS 4 nudi dva pristupa: Definirani pristup i Prilagođeni pristup.
1. Definirani pristup
Definirani pristup je tradicionalni pristup usklađivanju s PCI DSS-om. Prema ovom pristupu tvrtke implementiraju sigurnosne kontrole koje ispunjavaju specifične zahtjeve PCI DSS standarda. Procjenitelji zatim testiraju ove kontrole kako bi provjerili njihovu učinkovitost. Ako se otkriju bilo kakva odstupanja, tvrtke mogu koristiti kompenzacijske kontrole za ublažavanje rizika.
2. Prilagođeni pristup
Prilagođeni pristup je novi pristup usklađivanju s PCI DSS - fleksibilniji, ali i složeniji. Prema ovom pristupu, tvrtke mogu implementirati kontrole koje ispunjavaju navedeni cilj svakog PCI DSS zahtjeva, čak i ako se ne pridržavaju strogo definiranih zahtjeva. Međutim, tvrtke ipak moraju biti u stanju pokazati procjeniteljima da njihove prilagođene kontrole učinkovito ispunjavaju cilj zahtjeva.
Ostale glavne promjene u PCI DSS 4
- Širu primjenu enkripcije podataka o vlasnicima kartica na pouzdanim mrežama, čime enkripcija podataka vlasnika kartica u svim točkama prijenosa u internim mrežnim zonama postaje ključnom za svaku organizaciju
- Veću učestalost testiranja kritičnih kontrola, uz zahtjev da tvrtke češće testiraju kritične kontrole kako bi osigurale njihovu učinkovitost.
- Dodanu fleksibilnost i podršku dodatnim metodologijama za postizanje sigurnosti.
Pročitajte opširnije iz originalnog članka (na engleskom) posvećenom PCI DSS v4.0.
