Ban hành PCI DSS phiên bản 4.0

Chuẩn an ninh dữ liệu PCI  là tiêu chuẩn áp dụng toàn cầu nhằm bảo vệ dữ liệu thanh toán

Mục tiêu của phiên bản mới nhất của tiêu chuẩn là “giải quyết các mối đe dọa và công nghệ mới nổi và cho phép các phương pháp sáng tạo để chống lại các mối đe dọa mới” đối với thông tin thanh toán của khách hàng.

PCI DSS 4.0, được trình bày chi tiết trong một tài liệu dài 360 trang, được tạo ra dựa trên hơn 6.000 đề xuất từ hơn 200 thành viên của ngành thanh toán toàn cầu. Bản tóm tắt các thay đổi được trình bày trong một tài liệu riêng biệt.

Michael Johnson, Giám đốc điều hành tại JPMorgan Chase, cho biết: "Trong hai năm qua, Hội đồng Tiêu chuẩn Bảo mật PCI đã mời các bên liên quan trong ngành thanh toán tham gia vào quá trình phát triển PCI DSS v4.0 mới. Những nỗ lực hợp tác của nhiều bên - bao gồm cả các tổ chức tham gia và các chuyên gia đánh giá bảo mật có trình độ - đã cho phép tiêu chuẩn cung cấp tính linh hoạt mới trong việc hướng tới các yêu cầu của tiến bộ công nghệ”.

Lance Johnson, Giám đốc điều hành của PCI SSC, nói: "Ngành công nghiệp đã có tầm nhìn và tác động chưa từng có đến sự phát triển của PCI DSS v4.0. Các bên liên quan của chúng tôi đã cung cấp ý kiến ​​đóng góp quan trọng, sâu sắc và đa dạng giúp hội đồng thúc đẩy phát triển phiên bản này của Tiêu chuẩn bảo mật dữ liệu PCI."

Emma Sutcliffe, Phó chủ tịch cấp cao và giám đốc tiêu chuẩn tại PCI SSC, nói: "PCI DSS v4.0 đáp ứng tốt hơn tính chất động của thanh toán và môi trường đe dọa" so với phiên bản trước. Bà cho biết phiên bản 4.0 "tiếp tục củng cố các nguyên tắc bảo mật cốt lõi đồng thời cung cấp tính linh hoạt hơn để cho phép triển khai công nghệ đa dạng tốt hơn" và sẽ "giúp các tổ chức bảo mật dữ liệu tài khoản ngay bây giờ và trong tương lai."

Những thay đổi được PCI SCC nhấn mạnh bao gồm:

• Triển khai MFA cho tất cả quyền truy cập vào môi trường dữ liệu của chủ thẻ
• Thay thế thuật ngữ “tường lửa” bằng “kiểm soát an ninh mạng” để hỗ trợ nhiều loại công nghệ bảo mật hơn.
• Tăng tính linh hoạt cho các tổ chức để chứng minh cách họ đang sử dụng các phương pháp khác nhau để đạt được các mục tiêu bảo mật;
• Bổ sung các phân tích rủi ro được nhắm mục tiêu để cho phép các thực thể linh hoạt trong việc xác định tần suất họ thực hiện các hoạt động nhất định, sao cho phù hợp nhất với nhu cầu kinh doanh và mức độ rủi ro của họ.

Hội đồng Tiêu chuẩn bảo mật PCI sẽ dành ra hai năm – từ nay cho đến ngày 31/3/2024 - để ngành công nghiệp tiến hành đào tạo và cung cấp giáo dục về việc thực hiện các thay đổi và cập nhật trong phiên bản 4.0. Trong thời gian này phiên bản 3.2.1 sẽ vẫn hoạt động.

PCI SSC lưu ý rằng một số yêu cầu mới ban đầu được coi là thực tiễn tốt nhất, nhưng sẽ chỉ có hiệu lực vào ngày 31/3/2025. Sau ngày này, chúng sẽ được xem xét đầy đủ trong đánh giá PCI DSS.

Thời gian triển khai áp dụng PCI DSS 4.0

Tim Erlin, Phó chủ tịch chiến lược tại công ty giải pháp bảo mật và tuân thủ Tripwire, cho biết giai đoạn chuyển đổi cho đến khi tiêu chuẩn mới có hiệu lực vào năm 2025 cung cấp cho các tổ chức thời gian để thích ứng với các yêu cầu mới nhưng cũng để lại rủi ro lớn hơn. Ông nói: "Việc xác định khung thời gian triển khai phù hợp cho các yêu cầu tuân thủ mới là một hành động cân bằng. Sẽ là lý tưởng nếu hầu hết các tổ chức chuyển sang các phương pháp tốt nhất trước khi chúng trở thành bắt buộc".

Erlin cho biết ông đánh giá cao những mặt tích cực trong phiên bản 3.2.1 nhưng cho rằng nó chủ yếu giải quyết cấu hình an toàn và thật không may lại tập trung vào việc thay đổi mật khẩu mặc định do nhà cung cấp cung cấp. Ông nói: "Quản lý cấu hình an toàn vượt xa (vấn đề) mật khẩu (mặc định) của nhà cung cấp và thật tuyệt khi thấy phiên bản mới của tiêu chuẩn có cách tiếp cận mở rộng hơn đối với yêu cầu".

Erlin nói  rằng việc áp dụng kiến trúc Zero Trust đã tăng trưởng đáng kể từ khi phiên bản trước của PCI DSS được phát hành vào năm 2018. “Phiên bản mới của tiêu chuẩn tạo không gian cho các phương pháp tiếp cận Zero Trust với xác thực và ủy quyền với sự cho phép phân tích động hình thái bảo mật như một cơ chế cung cấp quyền truy cập theo thời gian thực vào tài nguyên thay thế cho việc quy vòng mật khẩu. Luôn cập nhật các phương pháp hay nhất về an ninh mạng là điều quan trọng để tránh việc các tổ chức phải hạ cấp độ bảo mật nhằm duy trì sự tuân thủ ”.

Ngoài tiêu chuẩn cập nhật, PCI SSC đã xuất bản trong thư viện tài liệu của mình Bản tóm tắt các thay đổi từ PCI DSS v3.2.1 sang v4.0, Mẫu Báo cáo tuân thủ v4.0, Báo cáo Chứng nhận tuân thủ và Câu hỏi thường gặp của Báo cáo tuân thủ.

Tiêu chuẩn và Tóm tắt các Thay đổi sẽ sớm được dịch sang một số ngôn ngữ để giúp việc áp dụng tiêu chuẩn trên toàn cầu dễ dàng hơn. Hội đồng SSC cho biết những bản dịch này sẽ được xuất bản trong vài tháng tới, từ tháng 4 – 6/ 2022.