TigerTeam - suomalainen tietoturvablogi

PCI-tietoturvastandardi sai heti ilmestymisensä jälkeen kritiikkiä siitä, että se ei tue riskipohjaista lähestymistapaa. Organisaatio joko noudattaa tai on noudattamatta PCI-standardia, mitään välimuotoja ei ole standardissa määritelty. Lisäksi jokainen vaatimus on yhtä tärkeä: mikäli yksikin kohta on ”punaisella” (esim. puutteellinen dokumentointi) niin organisaatio ei ole vaatimuksenmukainen.

PCI Council on huomioinut kritiikin, ja PCI-standardiin on myöhemmin lisätty riskipohjaista lähestymistapaa tukevia vaatimuksia. Tällainen on esimerkiksi 1.2-päivityksen yhteydessä muuttunut tietoturvapäivitysvaatimus, joka nykyisin sallii tietoturvapäivitysten priorisoinnin niiden kriittisyyden mukaan.

Uusin parannus riskipohjaisella lähestymistavalla on vastikään julkaistu PCI Councilin dokumentti ja työkalu Prioritized Approach for DSS 1.2. Menetelmän ideana on jakaa vaatimukset kuuteen vaiheeseen (milestone) niiden kriittisyyden mukaan. Näin organisaatio, joka ei vielä täytä PCI-vaatimuksia, voi omassa projektissaan keskittyä aluksi tärkeimpiin vaatimuksiin (Milestone 1) ja jättää vähiten kriittiset vaatimukset (Milestone 6) toteutettavaksi viimeiseksi. On kuitenkin syytä huomioida, että PCI-standardin noudattaminen edellyttää edelleen jokaisen vaatimuksen saamista ”vihreäksi”.

Nixun saamien tietojen mukaan jatkossa korttiyhtiöt alkavat seurata kauppiaiden ja palveluntarjoajien edistymistä näiden kuuden tason mukaan. Yleisen tietoturvallisuuden ja korttiyhtiöiden seurannan takia organisaatioiden, jotka eivät vielä ole PCI:n mukaisia, kannattaakin varmistua, että vähintään Milestone 1 -tason vaatimukset ovat kunnossa. Lisäksi tulee varmistaa, että Milestone 2 - ja 3-tasolla vaatimukset tulevat kuntoon mahdollisimman nopeasti.

Nixun lähestymistapa PCI-projekteille ja roadmapeille on aina ollut riskipohjainen, joten PCI Councilin ehdottama malli sopii hyvin yhteen Nixun työmenetelmien ja suositusten kanssa.