A PCI DSS v4.0 az elmúlt évtized legnagyobb szabványfrissítése. 64 új követelményt vezet be, és több száz meglévőt módosít. Az európai kereskedők számára a v4.0 nemcsak a meglévő kontrollokat erősíti, hanem teljesen új koncepciókat is bevezet: customized approach (testreszabott megközelítés), biztonsági kontrollok leltára és kibővített követelmények felhőalapú környezetekhez. Ez a cikk ismerteti a főbb változásokat és azok gyakorlati következményeit.
Strukturális főbb változások a PCI DSS v4.0-ban
A PCI DSS v4.0 két megfelelőségi megközelítést vezet be: Meghatározott megközelítés (hagyományos) – a pontosan meghatározott technikai és működési követelmények teljesítése; Testreszabott megközelítés – a szervezet saját kontrollokat alkalmazhat, ha bizonyítani tudja, hogy azok teljesítik a követelmény biztonsági célját. A testreszabott megközelítés érett biztonsági programmal rendelkező szervezeteknek szól, és QSA bevonását igényli. A legtöbb kereskedő számára a meghatározott megközelítés marad a helyes út.
6.4.3. követelmény: új előírás az e-kereskedelmi szkriptekhez
A 6.4.3. követelmény az e-kereskedelem egyik legfontosabb új kontrollja: a szervezetnek leltárt kell vezetnie és kezelnie az összes, fizetési oldalakra töltött szkriptről, dokumentálnia kell minden szkript üzleti célját, rendelkeznie kell az egyes szkriptek integritásának megerősítési módszerével (hash, CSP, SRI – Subresource Integrity), írásban jóvá kell hagyatnia minden szkriptet egy felhatalmazott személlyel. Ez vonatkozik mind a saját szkriptekre, mind a külső forrásból származókra (Google Analytics, Hotjar, chatbotok). A követelmény 2025. március 31-én lépett hatályba.
11.6.1. követelmény: fizetési oldalak biztonsági monitorozása
A 11.6.1. követelmény kötelezővé teszi a fizetési oldalak jogosulatlan változtatásainak észlelési mechanizmusát: a mechanizmusnak észlelnie kell a HTTP-fejlécek és a fizetési oldalak tartalmának változásait, riasztásokat kell generálnia legalább hetente egyszer vagy minden változtatásnál, a mechanizmusnak a szervezet rendszereitől függetlennek kell lennie (külső monitorozás). Ez a követelmény közvetlen válasz a Magecart/web skimming típusú támadásokra, amelyek rosszindulatú JavaScriptet injektálnak a fizetési oldalakba kártyaadatok ellopása céljából.
MFA minden CDE-fiókhoz: új követelmény
A PCI DSS v4.0 8.4.2. követelménye kiterjeszti az MFA (többfaktoros hitelesítés) kötelezettségét a CDE-hez hozzáféréssel rendelkező összes fiókra – nem csak a kiemelt jogosultságú fiókokra. Ez vonatkozik: a termelési rendszerekhez a CDE-ben hozzáféréssel rendelkező fejlesztőkre, rendszergazdákra, kártyaadatokhoz hozzáféréssel rendelkező ügyfélszolgálati munkatársakra. Az MFA-t a CDE-környezethez való minden hozzáférés előtt meg kell valósítani. Elfogadott típusok: TOTP alkalmazások (Google Authenticator, Authy), fizikai kulcsok (YubiKey), biometria.
PCI DSS v4.0 megfelelőségi ütemterv az európai kereskedőknek
2024. március 31.: a v4.0 lett a PCI DSS egyetlen aktuális verziója (a v3.2.1 lejárt). 2025. március 31.: a "legjobb gyakorlatként" megjelölt összes 64 új követelmény kötelezővé vált. A szervezeteknek most el kell végezniük: a v4.0 összes követelményének teljes megfelelőségi ellenőrzését (beleértve a 6.4.3., 11.6.1., 8.4.2. követelményeket), hiányelemzést a korábbi megfelelőségi program és a v4.0 között, a dokumentáció, politikák és eljárások frissítését. A PCI Proxy EU tokenizációját használó szervezeteknek természetesen kisebb a teljesítendő v4.0-követelmények hatóköre.
Igazítsa megfelelőségi programját a PCI DSS v4.0-hoz
A PCI Proxy EU segít teljesíteni a PCI DSS v4.0 követelményeit, beleértve az e-kereskedelmi szkriptekre és monitorozásra vonatkozó új kontrollokat.
Konzultáljon szakértőnkkel