PCI DSS -standardista versio 3.2 – mikä on muuttunut?

Toukokuu 2, 2016 at 10:53

Tässä kirjoituksessa kuvataan 28. huhtikuuta julkaistun PCI DSS 3.2 -standardin keskeisimmät muutokset sekä niiden vaikutukset maksukorttitietoa käsitteleville toimijoille.

Muutokset voidaan jakaa kahteen kategoriaan: kaikkia toimijoita koskeviin muutoksiin ja vain palveluntarjoajille kohdistettuihin.

1) Kaikkia toimijoita koskevat muutokset

Merkittävimmäksi muutokseksi voidaan nostaa standardin kolmen vuoden päivityssyklistä luopuminen.
Keväällä 2015 PCI DSS-standardia hallinnoiva PCI Council julkaisi päivityssyklin ulkopuolelta 3.1 -version, jonka merkittävin muutos oli SSL-salauksen ja vanhojen TLS-salausten poistaminen hyväksytyistä salausmenetelmistä kesään 2016 mennessä. Koska SSL-salauksen käyttäminen oli ja on edelleen melko tyypillistä esimerkiksi maksupäätteiden osalta, ja salauksen päivittäminen vahvempiin voi edellyttää jopa laitteiden vaihtamista, ei teollisuus ollut uudistuksesta kovin innoissaan.

Loppuvuodesta 2015 PCI Council päivitti ohjeistustaan palautteen perusteella ja siirsi SSL/TLS-salauksista luopumisen ajankohtaa kesään 2018. Samassa yhteydessä julkaistiin myös tieto siitä, että keväällä 2016 tulee versio 3.2, jossa on tämä muuttunut päivämäärä sekä muita päivityksiä.

Hieman ennen version 3.2 julkaisua PCI Council tiedotti, ettei loppuvuodesta 2016 julkaista alkuperäisen aikataulun mukaista 4.0-versiota ja että koko kolmen vuoden päivityssyklistä tullaan luopumaan. Luopumiseen PCI Council listaa seuraavat syyt:


• Standardi on niin kypsä, ettei merkittäviä muutoksia enää tarvita
• Kolmen vuoden päivityssykli oli liian jäykkä regoimaan teollisuuden tarpeisiin ja uusiin innovaatioihin.

Kaikkia toimijoita koskevat myös tarkentuneet SSL/TLS-salauksen käyttämiseen siirtymäajalla vaadittavat dokumentit, joista PCI Council jo tiedotti syksyllä 2015. Päästä päähän salaavia maksupäätteitä käyttävien kauppiaiden kohdalla tämä on yleensä maksupäätepalveluntarjoajan tehtävä.
 

2) Muutokset palveluntarjoajien vaatimuksissa

Muuten muutokset vaatimuksissa kohdistuvat ennen kaikkea palveluntarjoajille ja selkeänä tavoitteena on saada tietoturvallisuudesta huolehtiminen selkeämmin osaksi päivittäistä tekemistä.

Merkittävimpiä muutoksia palveluntarjoajille:

• Uudet DESV-vaatimukset (Designated Entities Supplemental Validation) korkean riskin ympäristöille, joissa murron todennäköisyys on suuri. Maksutapahtumien vastaanottajat (acquirer) määrittelevät DESV-toimijat. Suomessa tällaisia toimijoita tullee olemaan korkeintaan muutamat suurimmat palveluntajoajat.
• Palveluntarjoajilla tulee olla SSL/TLS-vaatimukset täyttävä ratkaisu.
• Verkon segmentoinnin toimivuuden testaaminen penetraatiotestillä vuoden sijaan kuuden kuukauden välein.
• Prosessit tietoturvapuutteista ilmoittamiselle, sekä tietoturvaohjeistuksen seurannalle.
Edellisten vaatimuksien lisäksi standardi sisältää useita muita muuttuneita vaatimuksia, joista osa tosin on vain muutoksia kieliasuun ja muotoiluun.
 

Aikataulu

PCI DSS-version 3.1 käyttäminen päättyy lokakuun lopussa, jonka jälkeen auditoinneissa on käytettävä uusinta versiota. Uudet vaatimukset puolestaan tulevat pakollisiksi helmikuun alussa 2018, mitä ennen uudet vaatimukset ovat vain suosituksia.
 

Yhteenveto

Päästä päähän salaavia maksupäätteitä käyttäville kauppiaille merkittävin muutos on SSL/TLS-vaatimukseen tullut lisäaika, mikä voidaan nähdä helpotuksena. Kannattaa kuitenkin pitää mielessä, että SSL/TLS:n poistamiseen hyväksytyistä salaustavoista on painavat syyt, eikä päivittämisessä ole syytä hidastella, vaikka nyt vaatimukset sen mahdollistavatkin.

Kolmen vuoden päivityssyklistä luopuminen voidaan nähdä joko positiivisena tai negatiivisena muutoksena. Positiivista on, että nyt vaatimusten tulisi olla stabiileja, jolloin isoja muutosprojekteja ei tarvita. Toisaalta muutokset tulevat ennakoimattomiksi; aikaisemmin saattoi olla varma, että kun toiminta on saatettu vaatimuksia vastaaviksi, seuraavat vuodet oli mahdollista edetä ilman suuria muutoksia maksukorttiympäristöön. Nyt muutoksia standardiin voi tulla käytännössä koska vain, jolloin valmius toiminnan muuttamiseen pitää olla aina olemassa uusien vaatimuksien siirtymäajan sisällä.

Palveluntarjoajille uusia vaatimuksia on useampia, mutta enimmäkseen ne vain edellyttävät, että vaatimuksien täyttymistä tulee seurata ympärivuotisesti, eikä laittaa asioita kuntoon vain yksittäistä auditointia varten.

Lisää aiheesta:

Linkki standardiin => Standards

PCI Councilin What's New? -blogikirjoitus