PCI DSS v4.0 to największa aktualizacja standardu od dekady. Wprowadza 64 nowe wymagania i modyfikuje setki istniejących. Dla europejskich sprzedawców, v4.0 nie tylko wzmacnia istniejące kontrole, ale też wprowadza zupełnie nowe koncepcje: customized approach, security controls inventory i rozszerzone wymagania dla środowisk chmurowych. Ten artykuł omawia kluczowe zmiany i ich praktyczne implikacje.
Kluczowe zmiany strukturalne w PCI DSS v4.0
PCI DSS v4.0 wprowadza dwa podejścia do compliance: Defined Approach (tradycyjne) – spełnienie dokładnie zdefiniowanych wymagań technicznych i operacyjnych, Customized Approach – organizacja może stosować własne kontrole, jeśli udowodni, że spełniają cel bezpieczeństwa wymagania. Customized Approach jest przeznaczony dla dojrzałych organizacji z zaawansowanymi programami bezpieczeństwa i wymaga zaangażowania QSA. Dla większości sprzedawców, Defined Approach pozostaje właściwą ścieżką.
Wymaganie 6.4.3: nowe wymaganie dla skryptów e-commerce
Wymaganie 6.4.3 jest jedną z najistotniejszych nowych kontroli dla e-commerce: organizacja musi utrzymywać i zarządzać inwentarzem wszystkich skryptów ładowanych na strony płatności, dokumentować cel biznesowy każdego skryptu, mieć metodę potwierdzania integralności każdego skryptu (hash, CSP, SRI – Subresource Integrity), uzyskiwać pisemne zatwierdzenie dla każdego skryptu od upoważnionej osoby. Dotyczy to zarówno własnych skryptów, jak i zewnętrznych (Google Analytics, Hotjar, chatboty). Wymaganie weszło w życie 31 marca 2025.
Wymaganie 11.6.1: monitoring bezpieczeństwa stron płatności
Wymaganie 11.6.1 nakłada obowiązek mechanizmu wykrywania nieautoryzowanych zmian na stronach płatności: mechanizm musi wykrywać zmiany HTTP headers i zawartości stron płatności, alerty muszą być generowane przynajmniej raz na tydzień lub przy każdej zmianie, mechanizm musi być niezależny od systemów organizacji (zewnętrzny monitoring). Wymaganie to jest bezpośrednią odpowiedzią na ataki Magecart/web skimming, które wstrzykują złośliwy JavaScript na strony płatności w celu kradzieży danych kart.
MFA dla wszystkich kont w CDE: nowe wymaganie
PCI DSS v4.0 Wymaganie 8.4.2 rozszerza obowiązek MFA (uwierzytelniania wieloskładnikowego) na wszystkie konta mające dostęp do CDE – nie tylko konta uprzywilejowane. Dotyczy to: deweloperów z dostępem do systemów produkcyjnych w CDE, administratorów systemów, pracowników obsługi klienta z dostępem do danych kart. MFA musi być wdrożone przed każdym dostępem do środowiska CDE. Typy akceptowane: aplikacje TOTP (Google Authenticator, Authy), klucze fizyczne (YubiKey), biometria.
Terminarz compliance PCI DSS v4.0 dla europejskich sprzedawców
31 marca 2024: v4.0 stała się jedyną aktualną wersją PCI DSS (v3.2.1 wygasła). 31 marca 2025: wszystkie 64 nowe wymagania oznaczone jako 'najlepsze praktyki' stały się obowiązkowe. Organizacje powinny teraz: zweryfikować pełną zgodność z wszystkimi wymaganiami v4.0 (w tym Wymagania 6.4.3, 11.6.1, 8.4.2), przeprowadzić gap analysis między dotychczasowym programem compliance a v4.0, zaktualizować dokumentację, polityki i procedury. Organizacje korzystające z tokenizacji PCI Proxy EU mają naturalnie mniejszy zakres wymagań v4.0 do spełnienia.
Dostosuj program compliance do PCI DSS v4.0
PCI Proxy EU pomaga spełnić wymagania PCI DSS v4.0, w tym nowe kontrole dla skryptów e-commerce i monitoringu.
Porozmawiaj z ekspertem