Os provedores terão de enfrentar regulamentações mais severas, como parte de uma reformulação na regulamentação do setor de cartões de pagamento, que deverão entrar em pleno vigor no ano novo.
O novo Cartão de Pagamento Industry Data Security padrão 3.0 (PCI 3.0) será obrigatória para todas as empresas que armazenam, processam ou transmitem informações de cartões de pagamento a partir de 1º de janeiro de 2015. A norma renovada inclui prescrições destinadas a fornecedores terceiros.
As mudanças seguem uma série de violações de alto perfil, muitos dos quais, incluindo o alvo mais violações graves e Home Depot foram posteriormente seguidos para trás a controlos de segurança LAX em fornecedores terceiros. No caso da Target, o seu aquecimento e ar condicionado subcontratado foi implicado no corte subsequente e da cadeia de varejo.
Hackers enganado trabalhadores de uma empresa de ar condicionado Pennsylvania para abrir um anexo de e-mail atado-malware, a primeira etapa de um hack multi-estágio que finalmente permitiu que criminosos para plantas malware em terminais de ponto-de-venda na Target.
O semelhante Home Depot corte - que expôs 56 milhões de crédito de clientes e contas de cartão de débito - também foi habilitado por credenciais roubadas de um fornecedor de terceiros sem nome. Este acesso comprometido foi usada para plantar cartão de crédito siphoning malware em self-service de ponto-de-venda terminais at Home Depot.
Os dois mega-hacks ilustrar coletivamente como as senhas fracas, falta de autenticação de dois fatores e outras práticas de segurança fornecedor de terceiros pobres permitiram criminosos para invadir os negócios de infra-estrutura e roubar clientes de informações.
A nova norma vai obrigar os prestadores de serviços de terceiros para usar uma senha exclusiva ao acessar cada actividade a que se conectar remotamente, bem como a obrigatoriedade da utilização de autenticação de dois fatores para essas conexões. Ou, como o Conselho PCI, coloca: "prestadores de serviços com acesso remoto às instalações do cliente, [preciso] usar credenciais de autenticação exclusivas para cada cliente".
Outros novos requisitos PCI 3.0 (PDF) significa que nenhum comerciantes de e-commerce que redirecionam os pagamentos a terceiros, mesmo que eles não tocam todos os dados do titular do cartão, será no escopo para a conformidade com PCI 3.0.
A versão revisada da norma foi publicada em novembro de 2013, mas só se tornou obrigatório com iminente expiração da Versão 2.0, na virada do ano.
"Esta é uma grande mudança para os comerciantes e-commerce", explicou ferramentas de segurança firme Trustwave. "Isso significa que eles terão que preencher questionários de auto-avaliação, não preenche os requisitos de teste caneta e varredura de vulnerabilidades e completar os outros aspectos do processo de conformidade - mesmo que eles não transmitem diretamente dados de titulares de cartão."
Dispositivos de ponto-de-venda terá agora de ser inspecionados periodicamente para se certificar de que eles não foram infectados.
Finalmente os requisitos de teste de penetração será mais rigorosa sob PCI 3.0. Testers terão de seguir um quadro formal estabelecido pelo Conselho de Padrões de Segurança PCI. A pessoa que testa o sistema não pode ser a mesma pessoa que gerencia ou administra o sistema.
As organizações que lidam com dados de cartão de crédito são contra um prazo apertado para atender a conformidade com o PCI 3.0, na virada do ano. Organizações que não tenham já cumpridas 3.0 conformidade estão se colocando em risco grave, de acordo com a nuvem e serviços de TI Coretelligent firme.
"A versão 3.0 tem sido eficaz desde janeiro de 2014, mas as organizações receberam um prazo alargado ao longo do ano, desde que eles se conheceram versão 2.0 requisitos de conformidade", explicou Kevin Routhier, fundador e executivo-chefe da Coretelligent. "Esse novo prazo está prestes a expirar.
"Neste momento, as organizações que ainda estão em processo de reunião 3.0 conformidade estão por trás, e eles estão se colocando em sério risco de uma violação de dados caro, ação judicial e multas emissor do governo e de cartões de pagamento", alertou.
Como relatado anteriormente , o cumprimento do PCI 3.0 vem uma oportunidade de ir além de uma mentalidade cumprimento check-the-box para incentivar, um esforço contínuo proativa para melhorar a segurança.
"A maior mudança para a versão 3.0 é que ele introduz 20 novos requisitos em desenvolvimento, onde as versões anteriores só introduziu um ou dois requisitos em evolução", Routhier acrescentou. "Estas novas exigências em desenvolvimento são projetados para garantir que as normas estão em dia com as ameaças e mudanças surgindo no mercado."
"Não há absolutamente haverá mais violações de dados em 2015 -. Possivelmente, até mesmo mais do que vimos em 2014, devido ao mercado subterrâneo em expansão para os ciber-criminosos em torno de ambos os dados e identidade roubo de cartão de crédito não cumprimento não garante uma organização não seja ultrapassado , mas respeitem os requisitos de conformidade e ficar à frente da evolução atual cenário de ameaças mitiga significativamente o risco de uma organização ", concluiu.
PCI DSS tem sido o padrão da indústria de cartões de pagamento estabelecida desde 2006. Muitos observadores infosec historicamente criticado PCI como simplesmente oferecer uma base de segurança mínima, contendo os pareceres que "usar um antivírus" e "proteger os dados do portador de cartão", em vez de adotar um maior risco - ou abordagem focada no negócio. Comerciantes são obrigados a adotar o padrão, a fim de evitar as taxas de processamento de cartões mais altos em multas gerais e mais severas em caso de problemas.
Compliance para os pequenos comerciantes é possível através da auto-avaliação, mas as grandes empresas são obrigadas a contratar independente Assessor de Segurança Qualificado para executar auditorias independentes. ®
Nenhum comentário:
Postar um comentário