Trots att efterlevnaden av Payment Card Industry Data Security Standard (PCI DSS) förbättrades avsevärt under 2020, är cybersäkerhetshoten som organisationer står inför både smartare och mer svårfångade än för två år sedan, avslöjar 2022 års Verizon Payment Security Report (2022 PSR).
När organisationer nu förbereder sig för att implementera PCI DSS v4.0, ger 2022-års PSR värdefulla insikter för att kunna anpassa sig till den nya standarden.
Verizons logiska inställning till strategisk hantering av komplexa efterlevnadsutmaningar verkar göra en positiv skillnad för företag. Årets rapport visade att PCI DSS-efterlevnaden totalt sett förbättrades avsevärt under 2020, då 43,4% av organisationerna behöll full efterlevnad, jämfört med 27,9% 2019. Dessutom, medan över hälften (56,7%) av organisationerna misslyckades med sin interimistiska valideringsbedömning p.g.a. en eller flera utelämnanden av säkerhetskontroller förbättrades säkerhetskontrollgapet fortfarande avsevärt, från höga 7,7% 2019 till låga 4,0% 2020.
“Trots förbättringar i efterlevnaden vet vi att onda aktörer fortfarande finns där ute och att de är starkare än någonsin,” säger Sampath Sowmyanarayan, CEO, Verizon Business. “Vår egen 2022 Data Breach Investigations Report (2022 DBIR) fann att finanssektorn fortsätter att drabbas av motiverad organiserad brottslighet, där servrar var inblandade i 90 % av fallen med finansiella intrång. Som ett resultat är det osannolikt att hårdare arbete med den nuvarande strategin skulle leda till en förändring av detta,” fortsatte Sowmyanarayan. “För att förbli säkra i dagens ökade cybersäkerhetsklimat måste organisationer närma sig sina mål på projekt-, program- och strategisk nivå.”
Covid-19-pandemin eskalerade affärsaktiviteter online och betalkortstransaktioner, men den möjliggjorde också skicklig exploatering av både befintliga och framväxande hot och svagheter inom betalningssystem och processer. För att ytterligare komplicera betalningssäkerhetslandskapet för Chief Information Security Officers (CISO) och andra som arbetar med säkerhet, inledde PCI SSC nyligen den mest betydande omskrivningen av DSS sedan den släpptes 2004.
Även om det är ett viktigt steg framåt måste säkerhetsledare fokusera sin uppmärksamhet och sina resurser på att hålla jämna steg med dessa nya krav. PCI DSS v4.0, som släpptes tidigare i år, kommer att träda i kraft 2024.
“Betydande feedback från industrin drev förändringar av PCI DSS v4.0,” säger Lance Johnson, Executive Director för PCI Security Standards Council. “Nyckeländringar i standarden fokuserar på att möta betalningsindustrins föränderliga säkerhetsbehov, att kontinuerligt främja säkerhetsprocesser, samt öka flexibiliteten för organisationer som använder olika metoder för att uppnå säkerhetsmål och förbättra valideringsprocedurer.”
Designprioriteringar för PCI DSS v4.0
CISO:er och deras team kommer att behöva tillämpa en logisk, samordnad process för att utvärdera krav och begränsningar för PCI DSS v4.0, samtidigt som de navigerar sig igenom ändringarna. För att hjälpa organisationer inom betalningsbranschen att förenkla komplexiteten i dessa nya åtgärder och säkerställa datasäkerhet, inkluderar 2022 PSR en “verktygslåda” med hanteringsmodeller och ramverk som kan användas för att förhandla fram PCI DSS v4.0.
Som rapporten belyser har utmaningarna som organisationer möter kring datasäkerhet och efterlevnadshantering identifierbara orsak-och-verkan-relationer. Nyckeln till att uppnå pågående tillväxt och stabilitet kring prestandan för säkerhets- och efterlevnadsprogramprestanda är att hitta ett sätt att fokusera resurser på endast de delar inom säkerhetsmiljön som för närvarande begränsar eller blockerar ytterligare förbättringar. De svagaste länkarna är systembegränsningarna eller hävstångspunkterna. Som sådan är strategisk planering, koordinering och genomförande på operativ nivå avgörande för att undvika kostsamma dataintrång.
Potentiell påverkan av 5G
Attraktionskraften hos framväxande teknologier, såsom 5G och edge computing, tog fart rejält när covid-19-pandemin avslöjade de svagaste länkarna i finansbranschen. Hastigheten och stabiliteten hos 5G kommer att fortsätta förbättra den mobila upplevelsen för betalningsbranschen, vilket ger större kundsäkerhet genom avancerade biometriskt baserade identifierings- och verifieringsmetoder. Det kommer också att ge säkrare anslutningar för videokonferenser med exempelvis finansexperter och lånerådgivare.
Finansiella institutioner och handlare kommer att fortsätta att hitta innovativa sätt att dra nytta av 5G-förbättrade funktioner, öppen arkitektur och Multi-access Edge Computing (MEC)-teknik. Samtidigt måste säkerhetsutövare undersöka hur dessa nya innovationer kan påverka PCI DSS-efterlevnaden.