I mars 2025 trädde version 4.0 av den europeiska datasäkerhetsstandarden Payment Card Industry Data Security Standard (PCI DSS) i kraft – en av de mest omfattande uppdateringarna på flera år.
Standarden påverkar alla organisationer som hanterar betalkortsdata och ställer skärpta krav på bland annat identitetshantering och multifaktorautentisering (MFA).
Bakgrunden är tydlig: cyberhoten mot finansiella aktörer växer snabbt i både omfattning och komplexitet. PCI DSS 4.0 kräver nu att företag går från rekommendation till efterlevnad – särskilt vad gäller stark, phishing-resistent MFA.
Per Erngård, Sr. Director Solutions Engineering EMEA på Yubico, förklarar hur företag kan leva upp till de nya kraven:
Per Erngård, Sr. Director Solutions Engineering EMEA på Yubico
”PCI DSS 4.0 kräver att organisationer som hanterar betalkortsdata säkerställer att de upprätthåller en robust säkerhet, inklusive MFA. Det är särskilt relevant med en modern MFA lösning eftersom många av dessa företag är primära mål för cyberbrottslingar genom attacker som nätfiske, på grund av de stora mängder känsliga finansiella data som de har.”
”Om företagen inte följer de nya reglerna fullt ut kommer de inte bara att förlora sin certifiering och få dryga böter – de kommer också att förbli sårbara för alltmer sofistikerade cyberattacker. Sårbara företag i branscher som hanterar betalningar, t.ex. finansiella tjänster och detaljhandel, riskerar också att drabbas av allvarliga skador på sitt anseende och förlora förtroendet från kunder och intressenter om de utsätts för en lyckad attack. Det är extremt svårt att återhämta sig från detta i dessa sektorer.
”Kanske viktigast av allt är att PCI DSS 4.0 specifikt föreskriver användning av stark, modern MFA i linje med bästa praxis från branschorganisation FIDO Alliance för att utnyttja FIDO-baserad autentisering – vilket stärker cybersäkerheten för finansinstitut och organisationer som hanterar betalningsinformation. För att säkerställa efterlevnad måste företag implementera phishing-resistent MFA för alla anställda och sträva efter att skapa phishing-resistenta användare. Phishing-resistent MFA som säkerhetsnycklar säkerställer att även om en persons uppgifter äventyras kan angripare inte komma åt information utan att ha tillgång till den fysiska nyckeln. Att använda en säkerhetsåtgärd på hög nivå som denna hjälper inte bara företag att uppfylla PCI DSS 4.0, utan stärker också deras engagemang för att skydda kundinformation samtidigt som varumärkets integritet upprätthålls.”
