PCI DSS v4.0 zawiera 64 nowe wymagania w porównaniu do wersji 3.2.1. Część z nich była wymagana od 31 marca 2024, pozostałe od 31 marca 2025. Dla europejskich sprzedawców i dostawców usług płatniczych, zrozumienie konkretnych nowych wymagań i ich implikacji jest kluczowe dla utrzymania compliance bez zbędnych kosztów.
Zmiany w strukturze i celach bezpieczeństwa
PCI DSS v4.0 przeorganizowało wymagania z 12 kategorii na 12 celów bezpieczeństwa (Goals). Każde wymaganie ma teraz jawno zdefiniowany cel bezpieczeństwa – co ułatwia ocenę alternatywnych kontroli (Customized Approach). Numer wymagań jest zachowany (1.1-12.10), ale treść i zakres wielu wymagań zostały rozszerzone. Dla sprzedawców korzystających z tokenizacji PCI Proxy EU, wiele nowych wymagań ma ograniczony wpływ – zakres CDE jest mały i dokumentacja stosunkowo prosta.
Nowe wymagania dotyczące zarządzania ryzykiem podmiotów trzecich (12.8)
Wymaganie 12.8 zostało znacznie rozszerzone w v4.0: lista zatwierdzonych dostawców usług (service providerów) musi być utrzymywana i regularnie aktualizowana, pisemna umowa z każdym service providerem musi zawierać klauzule dotyczące utrzymania przez nich standardu PCI DSS, coroczny przegląd statusu compliance service providerów jest obowiązkowy (weryfikacja ich aktualnego AOC), wpływ wygaśnięcia certyfikacji service providera na własne compliance musi być zdefiniowany. Sprzedawcy muszą formalnie zarządzać relacją z PCI Proxy EU i innymi dostawcami płatności.
Nowe wymagania dotyczące uwierzytelniania i zarządzania dostępem (8.x)
Wymogi uwierzytelniania w v4.0 są znacznie rozszerzone: MFA dla wszystkich kont w CDE (nie tylko uprzywilejowanych) – Wymaganie 8.4.2, unikalne konta dla wszystkich użytkowników – Wymaganie 8.2.1, polityka haseł: minimum 12 znaków (zamiast 7 w v3.2.1) – Wymaganie 8.3.6, review kont i uprawnień dostępu co najmniej raz na 6 miesięcy – Wymaganie 7.2.4, disable nieaktywnych kont w ciągu 90 dni – Wymaganie 8.2.6. Wdrożenie silnego MFA (YubiKey, TOTP) dla wszystkich kont administracyjnych w systemach CDE jest priorytetem.
Wymagania dotyczące ciągłego monitorowania bezpieczeństwa (10.7, 11.x)
PCI DSS v4.0 kładzie znacznie większy nacisk na ciągły monitoring: Wymaganie 10.7 (nowe): wykrywanie i reagowanie na awarie krytycznych systemów kontroli bezpieczeństwa (firewall, IDS/IPS, antymalware, SIEM) w ciągu godzin, nie dni. Wymaganie 11.6.1 (nowe): monitoring bezpieczeństwa stron płatności pod kątem nieautoryzowanych zmian. Wymaganie 11.4.5 (v3.2.1: Wymaganie 11.3.1): testy penetracyjne segmentacji co 6 miesięcy przy naruszeniu danych. Organizacje potrzebują zautomatyzowanego monitoringu (SIEM) i jasnych procedur reagowania na alerty.
Jak PCI Proxy EU pomaga spełnić nowe wymagania v4.0
Korzystanie z PCI Proxy EU naturalnie spełnia lub ułatwia spełnienie wielu nowych wymagań v4.0: Wymaganie 6.4.3: hosted fields PCI Proxy EU są serwowane z oddzielnej domeny certyfikowanej – formularz płatności w iFrame nie jest narażony na złośliwe skrypty ze strony sprzedawcy. Wymaganie 11.6.1: monitoring strony płatności jest prostszy, gdy formularz nie jest na domenenie sprzedawcy. Wymaganie 12.8: PCI Proxy EU dostarcza aktualny AOC i dokumentację dla sprzedawcy. Mniejszy zakres CDE oznacza mniej wymagań v4.0 do spełnienia łącznie.
Spełnij wymagania PCI DSS v4.0 z PCI Proxy EU
Nasi eksperci przeprowadzą Cię przez gap analysis PCI DSS v4.0 i wdrożenie brakujących kontroli.
Porozmawiaj z ekspertem