Introductie

Het proces van bereiken en behouden PCI DSS-naleving is voor geen enkele organisatie gemakkelijk. Of het nu gaat om een ​​grootschalige organisatie, een middelgroot bedrijf of een klein bedrijf, PCI DSS kan een ontmoedigende taak zijn omdat het een uitgebreide set beveiligingsvereisten omvat. Het bereiken van compliance vereist een goed begrip van het betalingsbeveiligingskader en implementatie van de beveiligingscontrolevereisten. Van organisaties die betaalkaartgegevens verwerken, wordt verwacht dat ze voldoen aan de: PCI DSS 12-vereisten om compliance te waarborgen en de betaalomgeving te beveiligen. Deze vereisten werken als richtlijnen voor organisaties om hun netwerk en infrastructuur te beveiligen tegen cyberdreigingen en datalekken. Voortbordurend op deze vereisten hebben we enkele nuttige tips gedeeld om je op voor te bereiden PCI DSS-nalevingsaudit.

PCI DSS-nalevingsvereisten begrijpen

PCI DSS-naleving is een beveiligingsstandaard en -raamwerk dat wordt gehandhaafd door de PCI Security Standard Council die zich richt op het beschermen van kaarthoudergegevens. De norm omvat 12 door de raad opgestelde vereisten die zich richten op technische en operationele maatregelen voor het beveiligen van gevoelige gegevens van betaalkaarthouders. Van organisaties wordt verwacht dat zij deze beveiligingsmaatregelen implementeren om te bereiken en te behouden: PCI DSS-naleving. Hieronder vindt u dus de 12 vereisten die kort worden uitgelegd voor een beter begrip van manieren om u voor te bereiden op PCI DSS-compliance.

PCI DSS-vereiste 1: Installeer en onderhoud een firewallconfiguratie om kaarthoudergegevens te beschermen
Verkopers en serviceproviders zijn verplicht om een ​​veilig netwerk te onderhouden met de juiste configuratie van firewalls en routers. Dit om de kaartgegevensomgeving te beschermen en cyberaanvallen te voorkomen.

PCI DSS-vereiste 2: Niet gebruiken-door leverancier geleverde standaardwaarden voor systeemwachtwoorden en andere beveiligingsparameters
Systemen en software worden geleverd met standaardwachtwoorden en -instellingen. Om de veiligheid te garanderen, wordt dus verwacht dat verkopers zorgen voor de verharding van de systemen, het netwerk en de apparaten van de organisatie met sterke beveiligingswachtwoorden en -configuraties. Bovendien wordt van verkopers verwacht dat ze de procedures voor systeemverharding documenteren en de protocollen dienovereenkomstig volgen.

PCI DSS-vereiste 3: Bescherm opgeslagen kaarthoudergegevens
Handelaren en serviceproviders zijn verplicht passende maatregelen te nemen om opgeslagen kaarthoudergegevens te beschermen. Met behulp van coderingstechnieken moeten de PAN-gegevens worden beveiligd tegen datalekken

PCI DSS-vereiste 4: Versleutel de overdracht van kaarthoudergegevens via een open of openbaar netwerk
Van verkopers wordt verwacht dat ze kaarthoudergegevens tijdens het transport via een openbaar of open netwerk versleutelen. Verder moeten ze ervoor zorgen dat er procedures en processen voor beveiligingsbeleid zijn om de beveiligingsmaatregelen en encryptievereisten af ​​te dwingen.

PCI DSS-vereiste 5: Antivirussoftware of -programma gebruiken en bijwerken
Van verkopers wordt verwacht dat ze hun systemen en applicaties up-to-date en beveiligd houden met de installatie van de nieuwste antivirussoftware op apparaten en applicaties. Dit is om bescherming te bieden tegen malware en andere cyberaanvallen.

PCI DSS-vereiste 6: veilige systemen en toepassingen ontwikkelen en onderhouden
Het is van cruciaal belang om beveiligingsimplementaties te beoordelen en beveiligingspatches te installeren om risico's te beperken. Het regelmatig bijwerken van deze beveiligingspatches is essentieel om het potentiële risico van een hack te voorkomen. Verkopers zijn verplicht om alle systemen binnen de kaartgegevensomgeving te patchen en beveiliging te implementeren in alle ontwikkelingsfasen. Daarnaast moeten er processen zijn om nieuwe kwetsbaarheden in systemen en applicaties te ontdekken.

PCI DSS-vereiste 7: Beperk toegang tot kaarthoudergegevens door zakelijke noodzaak om te weten
Verkopers moeten strenge toegangscontroles implementeren om de toegang tot kaarthoudergegevens te beperken. Dit voorkomt ongeautoriseerde toegang tot gevoelige kaartgegevens en het potentiële risico van datalekken of diefstal. Hiervoor moeten de nodige processen worden ingesteld om ervoor te zorgen dat de toegang tot kaarthoudergegevens wordt beperkt op basis van zakelijke noodzaak om te weten.

PCI DSS-vereiste 8: Identificeer en verifieer toegang tot systeemcomponenten
Toegang tot systemen en gegevens moet regelmatig worden gevolgd en gecontroleerd. Elke geautoriseerde medewerker moet een unieke ID krijgen als onderdeel van sterke beveiligingsmaatregelen. Dit is om de activiteiten rond toegang tot systemen en gegevens in de kaartomgeving te volgen om verantwoordelijkheid te behouden

PCI DSS-vereiste 9: Fysieke toegang tot kaarthoudergegevens beperken
Het beperken van fysieke toegang tot kaarthoudergegevens is een essentieel onderdeel van het implementeren van beveiligingsmaatregelen. Dit vereist de implementatie van on-site toegangscontroles, monitoring van logs en het hebben van het nodige beveiligingsbeleid en -processen. Bovendien zijn verkopers verplicht om alle apparaten en systemen te beveiligen met fysieke beveiligingsmaatregelen en om back-ups van alle gegevens te maken.

PCI DSS-vereiste 10: Alle toegang tot netwerkbronnen en kaarthoudergegevens volgen en bewaken
PCI DSS vereist realtime tracking en autorijden van alle toegangspunten, inclusief systemen en netwerken die kaartgegevens bevatten. Dit om misbruik van kwetsbaarheden en bedreigingen voor de kaartgegevensomgeving te identificeren en te voorkomen. Voor deze implantatie van het logboek is beheer essentieel voor het regelmatig volgen van activiteiten.

PCI DSS-vereiste 11: Test regelmatig beveiligingssystemen en processen
Het regelmatig uitvoeren van kwetsbaarheidsbeoordelingen en penetratietests zijn essentieel voor het testen van alle systeemprocessen op kwetsbaarheden. Dit om een ​​constant beveiligingsniveau binnen de kaartgegevensomgeving te waarborgen en te handhaven. Alle systemen en processen moeten regelmatig worden getest om ervoor te zorgen dat de gegevensbeveiliging altijd wordt gehandhaafd.

PCI DSS-vereiste 12: Een beleid handhaven dat informatiebeveiliging voor al het personeel aanpakt
Het creëren en onderhouden van beleid dat gericht is op informatiebeveiligingsprocessen is noodzakelijk vanuit het oogpunt van handhaving. Elke werknemer en externe leverancier zou toegang moeten hebben tot dit beleid om hun verantwoordelijkheden beter te kennen. Verder moet het informatiebeveiligingsbeleid jaarlijks worden herzien om het cyberbeveiligingsprogramma van de handelaar af te stemmen op de vereisten van PCI DSS.

Nu we de technische en operationele vereisten kennen die moeten worden geïmplementeerd om PCI DSS te bereiken, laten we eens kijken hoe organisaties zich kunnen voorbereiden op de PCI DSS-nalevingsaudit.

Stappen ter voorbereiding op PCI DSS-audit

De voorbereiding op de PCI DSS Compliance-audit kan erg stressvol zijn. Het vereist nauwgezette beoordelingsrondes en implementatie van processen om ervoor te zorgen dat de uiteindelijke audit een succes wordt. Dat gezegd hebbende, hier zijn enkele stappen die men kan volgen om zich voor te bereiden: PCI DSS-audit en ervoor te zorgen dat het een succes wordt.

Ga er niet vanuit dat u compliant bent – PCI DSS-conformiteitsvereisten worden vaak bijgewerkt door de PCI Council. Deze updates zijn gebaseerd op de zich ontwikkelende technologie en het dreigingslandschap in de branche. Met de nieuwste versie van PCI DSS 4.0 die in Q1 2022 wordt uitgebracht, moeten organisaties waakzaam zijn over de nieuwe vereisten die door de gemeente moeten worden ingevoerd en gehandhaafd. Ongeacht of u eerder PCI DSS-compatibel was, het is alleen de komende audit die zal voorstellen of u al dan niet compliant blijft. De compliance audit is een beoordeling om te controleren of alle beveiligingsmaatregelen zijn geïmplementeerd en in overeenstemming zijn met de nieuwste eisen op het gebied van gegevensbeveiliging. Dus, ervan uitgaande dat u compliant bent op basis van uw vorige PCI DSS-audit, kan de reden zijn dat uw organisatie niet-compliant is in de komende audit.

Naleving kloofanalyse – Als uw organisatie voor de eerste keer een PCI DSS-beoordeling ondergaat, is het erg belangrijk voor u om vast te stellen waar uw nalevingsniveau zich op een "as-is"-basis bevindt, wat uw belangrijkste lacunes zijn en ook welke investeringen nodig zijn. Hiervoor moet uw organisatie direct een gap-analyse blijven uitvoeren tegen de PCI DSS Compliance-eisen. Dit is om tekortkomingen in de eisen te beoordelen en te verifiëren en te werken aan het overbruggen van de hiaten in het systeem. PCI DSS is een continu proces en vereist regelmatige herziening en update van beleidsprocedures en -processen om de bedrijfsactiviteiten af ​​te stemmen op de beveiligingsstandaard en cyberbeveiligingsdoelen. Het uitvoeren van een gap-analyse en het verhelpen van de potentiële compliance-kloof is dus cruciaal, vooral vóór de laatste audit om PCI DSS-compliance te garanderen. Ook dit is niet alleen vanuit het oogpunt van compliance, maar ook vanuit het perspectief van het versterken van de beveiliging van systemen, netwerken en infrastructuur.

Adres alle PCI DSS-vereisten - Organisaties moeten ervoor zorgen dat ze aan alle 12 vereisten hebben voldaan die zijn beschreven in het PCI DSS-raamwerk om naleving van het beveiligingsstandaardraamwerk te garanderen. Het begrijpen van de vereisten en hun implicaties is essentieel voor organisaties om de nodige maatregelen voor naleving te implementeren. Aan alle vereisten moet volledig worden voldaan, zoals van toepassing. Als u niet aan één van deze vereisten voldoet, kan dit leiden tot een mislukte audit en niet-naleving van PCI DSS. Het is dus verplicht dat aan de 12 vereisten wordt voldaan en dat alle noodzakelijke beveiligingsmaatregelen worden geïmplementeerd binnen de kaartgegevensomgeving van de organisatie.

Maak een netwerk- en gegevensstroomdiagram - Organisaties moeten een nauwkeurig netwerkdiagram maken en onderhouden om inzicht te krijgen in de netwerkconnectiviteit in de hele organisatie en in de stroom van kaartgegevens door het hele netwerk van de organisatie. Dit geeft inzicht in het netwerk en de systemen van de organisatie die te maken hebben met kaartgegevens, waaronder het opslaan, verwerken en verzenden van kaartgegevens. Door een netwerkdiagram te maken met een visuele weergave van het gegevensstroomschema dat het proces van uw organisatie en de stroom van gevoelige kaartgegevens weerspiegelt, kunt u tekortkomingen in de operaties identificeren. Op basis van zo'n gedetailleerd netwerkdiagram kunnen organisaties prioriteit geven aan beveiligingsmaatregelen voor systemen, applicaties, netwerken en alle toegangspunten die te maken hebben met kaartgegevens.

Risicobeoordeling - Risicobeoordeling is een essentieel en integraal onderdeel van elk compliance- en cyberbeveiligingsprogramma. Het is belangrijk dat organisaties de risicoblootstelling waarmee ze te maken hebben, bepalen en begrijpen. Het beoordelen van het risico en het classificeren van de mate van risicoblootstelling op basis van de ernst is cruciaal voor het bedrijf om prioriteit te geven aan de beveiligingsimplementatie. Hiervoor moeten organisaties jaarlijks een risicobeoordeling uitvoeren om kritieke activa te identificeren die worden blootgesteld aan bedreigingen en kwetsbaarheden. Dergelijke beoordelingen helpen organisaties proactieve maatregelen te nemen om hun systeemnetwerk en gegevens te beveiligen tegen zich ontwikkelende cyberbedreigingen. Het helpt ook om hun cyberbeveiligingsprogramma voortdurend af te stemmen op de PCI DSS-vereisten.

Documentbeleid en -proces – Documenten met betrekking tot het nalevingsbeleid, de processen, procedures en leverancierscontracten en -overeenkomsten moeten actueel zijn en van tijd tot tijd worden bijgewerkt. Het bijhouden van alle relevante documenten als bewijsmateriaal in de PCI DSS-audit is cruciaal. De documenten moeten alle geïmplementeerde beveiligingsmaatregelen, procedures en processen omvatten die de implementatie van het binnen de organisatie vastgestelde nalevingsbeleid afdwingen. Dergelijke records tonen duidelijk de inspanningen van de organisatie voor het implementeren en onderhouden van PCI DSS-compliance. PCI DSS-audit omvat het verifiëren van documenten met betrekking tot de procedures, het beleid en de records die relevant zijn voor de implementatie van het beleid. Organisaties moeten er dus voor zorgen dat alle documentatie wordt bijgewerkt en consistent is met de dagelijkse activiteiten. Het is ook belangrijk op te merken dat elke wijziging in het beleid, de procedures of het werkingsproces regelmatig moet worden gedocumenteerd en bijgewerkt in de administratie.

Naleving van externe leveranciers - Hoewel organisaties de gegevensverwerkingsactiviteiten uitbesteden aan externe leveranciers, is het nog steeds hun verantwoordelijkheid om ervoor te zorgen dat ze compliant zijn. Handelaren moeten ervoor zorgen dat de externe leveranciers waarmee ze te maken hebben, zich bewust zijn van hun verantwoordelijkheden en gegevens verwerken in overeenstemming met de PCI DSS-vereisten. Als u er niet voor zorgt dat ze worden nageleefd, kan dit ook voor uw organisatie leiden tot datalekken en niet-naleving van PCI DSS. Dit kost de organisatie een fortuin als de nodige maatregelen om hun activiteiten te monitoren niet worden genomen. Om deze redenen is het programma van cruciaal belang om externe leveranciers en andere belanghebbenden bij compliance en cyberbeveiliging te betrekken.

Interne beoordeling uitvoeren – Het van tijd tot tijd uitvoeren van een interne beoordeling is essentieel om hiaten in processen en zwakke punten in systemen te identificeren. Dit helpt bij het herstelproces en overbrugt de hiaten in het nalevingsprogramma. Het uitvoeren van een jaarlijkse interne beoordeling is essentieel om de uiteindelijke PCI DSS Compliance Audit probleemloos te laten verlopen. De organisatie zal een betere kans maken om PCI DSS-compliance te bereiken door dergelijke pre-assessments en interne audits uit te voeren vóór de definitieve. Organisaties zullen worden voorbereid met de nodige documenten als bewijs en hebben beveiligingsmaatregelen geïmplementeerd die nodig zijn om PCI DSS-compliance te garanderen.

Tot slot
PCI DSS Compliance is onvermijdelijk voor handelaren en dienstverleners in de betaalkaartindustrie. Ze moeten er voortdurend voor zorgen dat ze aan alle vereisten voldoen en te allen tijde voldoen aan de betalingsbeveiligingsstandaard en -kader. Om deze redenen raden we organisaties ten zeerste aan om een ​​professionele en ervaren compliance-consultant en auditor in dienst te nemen om ervoor te zorgen dat hun compliance-programma op schema ligt en voldoet aan de PCI DSS-vereiste. Regelmatige interne audits en beoordelingen door een ervaren professional weerspiegelen de inzet en inspanningen van uw organisatie om kaartgegevens en omgeving te beveiligen en weerspiegelen hun proactieve benadering en initiatief om te voldoen aan hun nalevingsverplichtingen om gevoelige gegevens te beschermen.

DANKZIJ:

Narendra Sahoo