2021年1月、Payment Card Industry Security Standards Council(PCI SSC)は、2022年第XNUMX四半期に データセキュリティ標準(DSS)のv4.0のリリース。 Visa、Mastercard、American Express、Discover、JCB International、またはUnionPayからの支払いを受け入れる会社は、顧客のカードデータを保護するための基準に準拠する必要があります。 したがって、新しいバージョンで何が起こるかについては多くの関心があります。
今後の標準の詳細はまだ発表されていませんが、ホワイトラベルの支払いプロセッサ E-完了が識別されました 最も期待されている変更のXNUMXつとして、「継続的なプロセスとしてのセキュリティの促進」。
PCI DSS v4.0の継続的なセキュリティ?
この変化を予測したのはE-Complishだけではありませんでした。 ITガバナンス協会ISACAのEmergingTrendsWorkingGroupのメンバーであるテクノロジーリスクの専門家であるGauravDeepSingh Joharは、PCIDSSv4.0で何が期待できるかを追跡しています。 PCIに送信された何千ものコメントとフィードバックを考慮して、彼もまた、時間ベースの監査から継続的なセキュリティ監査とレポートを採用する傾向を予測しています。
「この標準により、組織は追跡している既存のメトリックを利用して、セキュリティのしきい値についてレポートできるようになる可能性があります」と彼は説明します。 「多くの組織は、PCI DSS、SOC2、ISO27001などの既存のバージョンのセキュリティ標準にすでに準拠しています。理論的には、組織は既存の準拠データを再利用して、新しいPCIDSS標準の下での認証要件の一部をサポートできます。」
これらの傾向は、PCIが2018年に標準を最後に更新してから、状況がどの程度変化したかを反映しているとJohar氏は言います。 多くの組織が一部を移動しました クラウドへのデータとアプリ それ以来、COVID-19の余波でデジタルトランスフォーメーションが大きな焦点となっているため、標準化団体はこの変化を説明する準備をしている可能性があります。
「標準は、以前よりも満たす必要があります」とJohar氏は指摘します。 「これは、組織にローカルなデータセンター環境だけでなく、クラウドベースのサービスやサーバーレスコンピューティング環境などにも当てはまります。今日の制御は、今日の要件を満たす必要があります。 彼らはより柔軟で、それを異なる方法で行う必要があります。」
今日のPCIDSSで継続的なセキュリティを開始する方法
PCI DSS v4.0は、リリースされた後、継続的なコンプライアンスを追求する方法について独自のガイダンスを提供します。 しかし、組織はそれまでプロセスを開始するのを待つ必要はありません。
フィンテック企業であるProfinchSolutionsの情報セキュリティおよびCISOの副社長でもあるISACAグローバルメンターのChetanAnandは、継続的なコンプライアンスは強固な基盤を確立することから始まると説明しています。
「何よりもまず、持続可能なセキュリティプログラムを開発して維持する必要があります。 これには、PCI DSSの目的が、カード会員データの盗難や不適切な開示に起因する損害からカード会員データを保護することであるということを理解する必要があります」と彼は言います。 「これには、マーチャント、サービスプロバイダー、アクワイアラー、イシュアー、ペイメントブランド、消費者など、ペイメントチェーンのすべての人が含まれます。」
組織が継続的なPCIDSSコンプライアンスプログラムの実装に成功するためのもうXNUMXつの鍵は、リーダーシップの賛同です、とアナンドは付け加えます。
「必要な予算、人的資源、ツール、トレーニング、能力を高める意識など、十分なリソースを確保することは、プログラムを成功させるための重要な考慮事項です」と彼は言います。
そのプログラムを実施すると、組織はポリシー、プロセス、手順、および制御の確立と実装に注力できます。 これには、メトリックを使用してクラウドでのこれらのコントロールの実装を監視することが含まれます。
「継続的なコンプライアンスを実現する効果的な方法は、既知のベースラインまたはテンプレートに対するセキュリティ制御のコンプライアンスを監視するクラウドベースのセキュリティ衛生ツールを使用することです」と、サイバーセキュリティサービス会社ITCSecureのセキュリティアドバイザー兼仮想CISOであるNeilLappage氏は述べています。 、ISACAEmergingTrendsワーキンググループのメンバー。 「管理の観点から、リアルタイムダッシュボードは、主要業績評価指標に対してPCI DSSコンプライアンスステータスを視覚化し、最終的に利害関係者に保証を提供するのに役立ちます。」
組織は、これらのメトリックを使用して、学んだことに従ってコントロールを調整できます。 以前のセキュリティインシデント.
エンタープライズへの移行
継続的なセキュリティ監視としきい値レポートにより、組織は企業のセキュリティを今後の実践の重要な要素にすることができます。
継続的なプロセスとしてセキュリティを促進することは、最終的にJoharが予想する別の変更をサポートします。
「PCIは、組織全体を保護するためにその範囲を拡大する可能性があります」と彼は言います。 「組織が支払いカード会員データの保護から企業全体の保護に移行できるように、セキュリティ基準はこれに合わせて調整する必要があります。」
