A PCI DSS v4.0 12 fő követelményből áll, amelyek mindegyike részletes technikai és szervezeti kontrollokat tartalmaz. Ez az ellenőrzőlista összefoglalja a legfontosabb teendőket, amelyek 2025-ben a PCI DSS-megfelelőséghez szükségesek.
1–3. követelmény: hálózat, konfiguráció, adatvédelem
1. Tűzfal és hálózati kontrollok: dokumentált hálózati diagram, tűzfalszabályok rendszeres felülvizsgálata (legalább félévente), minden bejövő/kimenő forgalom ellenőrzése a CDE-ben. 2. Biztonságos alapkonfiguráció: gyártói alapértelmezett jelszavak cseréje minden eszközön, szükségtelen szolgáltatások letiltása, konfigurációs alapvonal dokumentálása. 3. Kártyaadatok védelme: PAN-tárolás titkosítással (AES-256) vagy tokenizációval; CVV/CVC nem tárolható tranzakció után; PAN-t tartalmazó dokumentumok biztonságos kezelése és megsemmisítése.
4–6. követelmény: átvitel, kártevők, szoftverfejlesztés
4. Titkosítás nyílt hálózatokon: TLS 1.2 minimum (TLS 1.3 ajánlott) minden kártyaadatot érintő kommunikációhoz; tanúsítvány-kezelési eljárások dokumentálása. 5. Kártevő-védelmi szoftverek: végpontvédelmi megoldások telepítése és naprakész tartása minden CDE-rendszeren; rendszeres kártevő-ellenőrzési napló vezetése. 6. Biztonságos rendszer- és alkalmazásfejlesztés: biztonsági ellenőrzés a SDLC (Software Development Lifecycle) minden fázisában; webalkalmazásoknál WAF vagy kódellenőrzés; negyedévente sebezhető pont-ellenőrzés.
7–9. követelmény: hozzáférés, azonosítás, fizikai biztonság
7. Hozzáférés-korlátozás (least privilege): csak a szükséges hozzáférés megadása – mindenki csak azt érheti el, ami a munkájához kell; rendszeres jogosultság-felülvizsgálat (legalább félévente). 8. Azonosítás és hitelesítés: egyedi felhasználói azonosítók (nincs megosztott fiók); MFA minden CDE adminisztrátori hozzáférésnél (PCI DSS v4.0 kötelező); jelszóházirendek (min. 12 karakter). 9. Fizikai hozzáférési kontrollok: videokamera-rendszer a CDE területein; POS-terminál tamper-ellenőrzés legalább negyedévente; kártya-elfogadó eszközök leltár-nyilvántartása.
10–12. követelmény: naplózás, tesztelés, politika
10. Hálózati tevékenység monitorozása: minden CDE-hozzáférés naplózása; naplók legalább 12 hónapos megőrzése (3 hónap azonnali hozzáférhetőséggel); SIEM-rendszer a gyanús tevékenységek automatikus jelzésére. 11. Rendszeres biztonsági tesztelés: negyedéves ASV hálózati szkennelés; éves belső és külső penetrációteszt; behatolásvizsgálat szegmentáció ellenőrzésére. 12. Információbiztonsági politika: dokumentált biztonsági politika; éves munkavállalói biztonsági képzés; incidensreakció-terv és rendszeres tesztelése; szervizszolgáltatói lista és éves megfelelőségi ellenőrzés.
PCI DSS-felkészülés hatékony tokenizációval
Segítünk az ellenőrzőlista alapján felmérni a jelenlegi állapotot és prioritizálni a szükséges lépéseket, a tokenizációtól a dokumentáció felülvizsgálatáig.
Konzultáljon szakértőnkkel