הגרסה החדשה של תקן כרטיסי האשראי PCI-DSS 3.0 תיכנס לתוקף בקרוב. הדגש העיקרי בה הינו על ניהול שוטף ומתמשך של אבטחת המידע ו...
מערך אבטחת המידע הארגוני; זו הפרשנות העיקרית של חברת אבטחת המידע האמריקאית Agiliance, כמו גם של מומחי אבטחה נוספים.
להלן חמשת השינויים העיקריים בגירסה הנוכחית לעומת הגירסה הקודמת:
* הגרסה החדשה הינה 24X7:
אחד מן הדגשים העיקרים בגרסה החדשה הינו התמקדות בנושאי ובניהול אבטחת מידע כתהליך מתמשך; זאת, להבדיל מן הגישה בגרסה הקודמת אשר הגדירה מועדים קבועים לביקורות ומבדקי אבטחה - עובדה שהדגישה את החד-פעמיות או את המאמץ המרוכז לקראת ביצוע מבדק מסוג מסויים. "מבדק שנתי אינו משקף אבטחה כי אם Compliance", אומר סטיבן אורפי, מנהל בכיר ב-PCI Security Standards Council, אשר אחראית על גיבוש התקן. "זוהי מנטליות של Checkbox. בואו נשנה את הנושא לאבטחת מידע, ואבטחת מידע חייבת להתבצע 24X7", הוא מוסיף.
* הגברת מודעות וחינוך משתמשים בנושא סיסמאות:
על פי סקר Verizon האחרון, ניהול סיסמאות הינו אחת מנקודות החולשה הגדולות ביותר בחברות וארגונים רלוונטיים לתקן.
שימוש בסיסמאות ברירת מחדל, סיסמאות קלות לפיצוח, שימוש בסיסמאות זהות עבור מספר רב של מערכות שונות בארגון ואי-שימוש בתצורות הזדהות חזקות במקומות נדרשים - כל אלו נפוצים מאוד בחברות רבות.
"יש שימוש נרחב בסיסמאות ברירת מחדל, וזוהי חולשה ענקית", אומר אורפי, "קיים הכרח להשתמש בסיסמאות חזקות, לשנות סיסמאות ולוודא שנושאים אלו נכנסים לשגרת הפעילות הארגונית. זהו נושא שיש לבנות ולמסד אל תוך ה-DNA הארגוני, ולשמור עליו באדיקות".
*ניהול סיכונים הנשקפים מצד שותפים עסקיים:
"מתקפות רבות מגיעות דרך התחברויות של שותפים עסקיים", אומר אורפי.
באירוע בו דלפו כ-40,000,000 מספרי כרטיסי אשראי של לקוחות מרשת חברת Target, וקטור התקיפה הראשוני היה בדיוק מסוג זה - התחברות זדונית שבוצעה דרך תצורת התחברות של קבלן חיצוני.
בגרסת התקן החדשה, שותפים עסקיים חייבים לציין במדוייק אילו שירותים הם מספקים ואילו תצורות התחברות נדרשות עבורם בכדי לבצע את עבודתם. כך ניתן להקשיח את תצורות ההתחברות באופן שיוגדרו במדוייק מאפייני ההתחברות בתצורה המאובטחת ביותר.
* דרישות חדשות בנוגע למבדקי חדירות:
"אנו ממליצים על ביצוע יותר מבדקי חדירות", אומר אורפי.
עד עתה, הגדיר התקן ביצוע מבדקי חדירה בתדירות שנתית; לפי הגרסה החדשה מומלצת תדירות רבעונית. בנוסף, מגדיר התקן בפירוט את תכולת מבדקי החדירות, דבר שלא היה מוגדר במפורש עד עתה.
"כעת ההנחיות ברורות מאוד - דבר שלא היה קיים עד עתה", אומר ג'ף מאן, מומחה PCI מחברת Tenable.
* כיסוי של מערכות רבות יותר:
בעבר ניתן היה להתעלם ממערכות מחשוב והתקנים ארגוניים אשר לא הכילו מידע אודות כרטיסי האשראי; כעת הורחב הכיסוי והדרישה לתאימות לתקן גם אל מערכות אשר עלולות לאפשר לתוקפים להשיג גישה אל נתוני האשראי דרכן.
משמעות דרישה זו הינה מאמץ מורכב יותר בכדי להשיג תאימות מלאה לתקן.
לידיעה המלאה - כאן