PCI DSS V4: Τι αλλάζει και τι νέο υπάρχει στην έκδοση αυτή!
Όπως οι περισσότεροι γνωρίζετε, αυτή την εβδομάδα δημοσιεύτηκε η πολυαναμενόμενη τέταρτη έκδοση του προτύπου ασφαλείας PCI DSS από το PCI Council. Το PCI είναι η βίβλος για τις επιχειρήσεις που πρέπει να προστατέψουν δεδομένα πιστωτικών καρτών συμπεριλαμβάνοντας εμπόρους και παρόχους υπηρεσιών. Οποιαδήποτε επιχείρηση μεταχειρίζεται με οποιονδήποτε τρόπο δεδομένα καρτών, οφείλει να συμμορφώνεται με το υποχρεωτικό πρότυπο PCI DSS.
Η νέα έκδοση V4 του PCI διατηρεί αυτή τη αρχή, δηλαδή ότι το σύνολο του κυκλώματος συναλλαγών, από το μικρότερο ηλεκτρονικό κατάστημα έως την ίδια την τράπεζα απαιτούν συμμόρφωση, αλλά περνάει σε ένα διαφορετικό μοντέλο που δίνει μεγαλύτερη βαρύτητα στο αποτέλεσμα.
Είναι σημαντικό να θυμίσουμε ότι η νέα έκδοση έρχεται μετά από μία περίοδο 2 ετών, που λόγω του κορονοϊού οι online αγορές με πιστωτικές κάρτες την περίοδο 2019-2021 παρουσίασαν αύξηση 150% ελκύοντας αντίστοιχα το ενδιαφέρον του κυβερνοεγκλήματος.
Βασικοί στόχοι στην έκδοση PCI 4.0
Οι 12 βασικές κατηγορίες απαιτήσεων του PCI DSS παραμένουν ίδιες, αλλά:
- Εκσυγχρονίζει τα στάνταρ για να συμβαδίζουν με τις σύγχρονες τεχνολογικές ανάγκες όπως το cloud computing, το MFA κ.α.
- Προωθεί την ασφάλεια σαν μια διαρκή διαδικασία στην επιχείρηση.
- Γίνεται πιο ευέλικτο, δίνοντας πλέον και επίσημα την δυνατότητα της επιλογής των Remediation Actions που μέχρι την V3 γινόταν πρακτικά μόνο στα on-site audits από QSAs.
- Καθοδήγηση των επιχειρήσεων να εφαρμόζουν πολλαπλές διαδικασίες ασφαλείας, ώστε να αυξάνουν την συνολική ασφάλεια της επιχείρησης.
To 3DS αποκτά δικές του απαιτήσεις στο PCI V4
Στη νέα αυτή έκδοσή δημιουργείται ένα νέο πρότυπο ασφαλείας που αφορά παρόχους λύσεων EMV® 3DS. Το νέο αυτό πρότυπο, παρέχει στους software vendors και managed providers τα guidelines για την υλοποίηση κατάλληλων διαδικασιών – δικλείδων ασφαλείας, ώστε να προστατεύεται όσο το δυνατόν περισσότερο η συναλλαγή.
Κρυπτογράφηση: Αναβαθμισμένες προδιαγραφές κρυπτογράφησης στο PCI DSS v4.0
Σημαντική αναβάθμιση του προτύπου έρχεται και στο κομμάτι της κρυπτογράφησης των δεδομένων πιστωτικών καρτών. Όπως ήταν αναμενόμενο, το πρότυπο πλέον επεκτείνει την απαίτηση χρήσης κρυπτογράφησης και στο εσωτερικό δίκτυο. Να θυμίσουμε ότι μέχρι και την v3, η υποχρέωση περιελάμβανε μόνο τα public networks, αν και πολλές επιχειρήσεις έχουν αρχίσει ήδη να υιοθετούν την νέα πρακτική.
Μέχρι την έκδοση 3, οι επιχειρήσεις μπορούσαν να χρησιμοποιούν hashing για να κρατήσουν ένα μη αναγνώσιμο αντίγραφο του αριθμού της κάρτας χωρίς περαιτέρω μέτρα ασφαλείας. Πλέον το hash το ίδιο πρέπει να κρυπτογραφείται και να προστατεύεται (req 3.5.1.1). Επιπρόσθετα, πλέον τα SAD (Sensitive Authentication Data) πρέπει να προστατεύονται και αυτά με ισχυρή κρυπτογράφηση σύμφωνα με το requirement 3.2.2.
Στη νέα έκδοση, το απλό disk encryption (πχ bitlocker) δεν είναι αποδεκτό για την αποθήκευση δεδομένων καρτών με εξαίρεση τα removable media. Επίσης, γίνεται υποχρεωτική η δημιουργία certificate inventory (12.3.3) για την παρακολούθηση των πιστοποιητικών και τα οποία θα πρέπει να περιλαμβάνονται στο ετήσιο Risk Assessment (12.3.3). Τέλος, το three key triple DES (TDES/TDEA) παύει να θεωρείται ασφαλές μετά τις 31/12/2023.
Η νέα απαίτηση στοχεύει την καταπολέμηση γνωστών κινδύνων, όπως:
- Κακόβουλο λογισμικό στο εσωτερικό του δικτύου: Λογισμικά τύπου network sniffer που στόχο έχουν την υποκλοπή μη κρυπτογραφημένων δεδομένων.
- Εσωτερικοί κίνδυνοι: Προσωπικό ή εργολάβοι που στα πλαίσια της σύμβασής τους έχουν δικτυακή πρόσβαση στο cardholder environment και μπορούν εύκολα να συλλέξουν δεδομένα καρτών (πχ network administrators).
- Misconfiguration: Προστασία από κακή χρήση/ρύθμιση συστημάτων, όπως για παράδειγμα η χρήση σε WiFi πρωτοκόλλου παλαιότερης γενιάς στα οποία μπορεί να κλαπεί το σύνολο της κίνησης και να αποκρυπτογραφηθεί.
E-Commerce
Σημαντικές αλλαγές έρχονται στο e-commerce κανάλι δίνοντας βάση σε επιθέσεις τύπου tampering & skimming, όπου ουσιαστικά χακαρισμένα eshops, παρουσιάζουν κατά το checkout με χρήση javascript, μια φόρμα συλλογής στοιχείων πιστωτικών καρτών, με σκοπό να εξαπατήσουν τον πελάτη και να εισάγει τα στοιχεία του εκεί.
Έτσι, με το requirement 6.4.3 απαιτείται η φόρτωση μόνο των απαραίτητων javascript στη payment page και τα οποία πρέπει να περνούν από διαδικασία έγκρισης πριν τη χρήση τους. Πρακτικά στην payment page απαγορεύονται analytic scripts, ads script κλπ. Επιπρόσθετα, θα πρέπει να ελέγχεται το integrity των scripts που χρησιμοποιούνται σύμφωνα με το αντίστοιχο Content Security Policy. Πλέον γίνεται και επίσημα υποχρεωτική η χρήση WAF (Web Application Firewall) σύμφωνα με το requirement 6.4.1.
Authentication & Multi Factor Authentication
Με αρχή στην v3.2.1 που πρωτοεμφανίστηκε η απαίτηση του MFA, στην νέα έκδοση ενισχύεται ακόμα περισσότερο η χρήση πολλαπλών μεθόδων ταυτοποίησης. Πλέον, η χρήση MFA επεκτείνεται από τους διαχειριστές, στο σύνολο των χρηστών που έχουν πρόσβαση σε δεδομένα πιστωτικών καρτών. Το requirement 8.4.2 επεκτείνει το scope του MFA πέρα από τις non-console συνδέσεις, δηλαδή:
- Cloud environments
- Hosted systems
- On-premises applications
- Network security devices
- Workstations, Servers και Endpoints
Το πρότυπο ορίζει ότι τo Multi Factor Authentication θα πρέπει να υλοποιείται με τέτοιο τρόπο ώστε να:
- Μην είναι ευάλωτο σε επιθέσεις τύπου Replay.
- Μην υπάρχει δυνατότητα παράκαμψης – εξαίρεσης χωρίς την έγκριση της διοίκησης.
- Χρησιμοποιεί τουλάχιστον δύο τρόπους ταυτοποίησης (Something you know – Something you have – Something you are).
- Απαγορεύει την πρόσβαση, εάν δεν ικανοποιηθούν όλοι οι τρόποι ταυτοποίησης του χρήστη.
Το ελάχιστο μήκος κωδικών πρόσβασης πλέον ορίζεται στους 12 χαρακτήρες, με εξαίρεση legacy συστήματα του 8 και μόνο αν δεν είναι τεχνικά εφικτή η αναβάθμισή τους.
Logging και Internal Vulnerability Scanning
Ως γνωστό, το PCI απαιτεί εκτεταμένη καταγραφή συμβάντων για την καταγραφή και εντοπισμό ενεργειών στο περιβάλλον του PCI. Πλέον το logging απαιτείται τόσο για Post Forensic Investigation αλλά και για real-time detection. Έτσι καθίσταται υποχρεωτική η ύπαρξη αυτοματοποιημένου μηχανισμού αναλυσης των logfiles για την αποτροπή κακόβουλων ενεργειών (10.4.1.1).
Επιπλέον, τα internal vulnerability scanning θα πρέπει να έχουν δυνατότητα αυθεντικοποίησης. Ο λόγος είναι προφανής και έχει να κάνει με το γεγονός ότι στην πράξη, οι επιτιθέμενοι συνήθως αποκτούν με κάποιο τρόπο πρόσβαση στο σύστημα και προσπαθούν να εκμεταλλευτούν ευπάθειες, ώστε να κάνουν privilege escalation.
Legacy συστήματα
To PCI-DSS v.4 επηρεάζει σημαντικά τα Legacy συστήματα, τα οποία θα πρέπει να αναβαθμιστούν για να συμβαδίζουν με τις νέες προδιαγραφές που ορίζουν τα δεδομένα της εποχής. Έτσι προκύπτουν νέες απαιτήσεις σχετικά με:
- Τεχνικές προδιαγραφές: Τα συστήματα θα πρέπει να αναβαθμιστούν σε τελευταίες εκδόσεις και να πληρούν τα νέα στανταρ, όπως την ταυτοποίηση πολλαπλών παραγόντων.
- Διαδικασίες διαχείρισης κινδύνων: Το PCI DSS πλέον υποχρεώνει τις επιχεΙρήσεις να πραγματοποιούν εκτεταμένα Risk Assessments, Όπου τα legacy συστήματα θα αρχίσουν να δημιουργούν αυξημένους δείκτες κινδύνου
- Αρχιτεκτονικές απαιτήσεις: Όπως στις τεχνικές προδιαγραφές, έτσι πιθανότατα θα χρειαστεί ανασχεδιασμός ώστε να υποστηρίζει τις νέες απαιτήσεις όπως το segmentation των πελατών.
Requirements v4
H νέα έκδοση έρχεται και με σημαντικές αλλαγές στο πλήθος των προδιαγραφών, που αυξάνονται κατά 64 συνολικά, με τους εμπόρους να πρέπει να καλύψουν επιπλέον 53 requirements και οι service providers επιπλέον 11.
Deadline
Η νέα έκδοση 4 του PCI DSS έχει δημοσιοποιηθεί από τις 30/3/2022 στο site του PCI Council και θεωρείται άμεσα εφαρμόσιμη από οποιαδήποτε επιχείρηση επιθυμεί να συμμορφωθεί. Η μεταβατική περίοδος στην έκδοση 4.0 λήγει στις 31/3/2024, που σημαίνει ότι όλες οι επιχειρήσεις και οργανισμοί θα πρέπει να έχουν συμμορφωθεί πλήρως μέχρι τότε.
Αυτό συνεπάγεται ότι οι επιχειρήσεις πρέπει να ξεκινήσουν άμεσα την αλληλεπίδραση με το νέο πρότυπο για να προετοιμαστούν αποτελεσματικά απέναντι στο νέο αυτό challenge!