الزامات مهم احراز هویت در PCI DSS 4.0
استاندارد امنیت دادههای کارت پرداخت (PCI DSS) برای محافظت از دادههای کارت، در سالهای اخیر بروزرسانی شده به نسخه 4.0 رسیده است. این نسخه بیش از 60 الزام جدید یا بهروز شده را معرفی میکند. از جمله مهمترین آنها، رمزهای عبور، احراز هویت چند عاملی (MFA) و احراز هویت بدون رمزعبور مبتنی بر FIDO است.
PCI DSS 4.0 چیست؟
استاندارد امنیت دادههای کارت پرداخت (PCI DSS) که در سال 2004 معرفی شد، بر هر سازمانی که دادههای دارنده کارت را ذخیره، پردازش یا انتقال میدهد، اعمال میشود. برای نشان دادن انطباق با PCI DSS، سازمانها در تمام سیستمهایی که با محیط دارنده کارت تعامل دارند، ارزیابی میشوند.
در مارس 2022، شورا نسخه 4.0 PCI DSS را اعلام کرد که دستورالعملهایی را برای بهبود امنیت دادههای دارنده حساب و کارت پرداخت در چشمانداز تکامل یافته تهدیدات سایبری امروز ارائه میدهد. نسخه فعلی، PCI DSS 3.2.1، در مارس 2024 رسماً منسوخ خواهد شد و سازمانها ملزم خواهند بود که دستورالعملهای نسخه جدید را بهطور مرحلهای طی دوازده ماه اجرا کنند.
در حالی که نسخه 4.0 بهطور کلی بهروزرسانیهایی را ارائه میدهد، برخی از مهمترین آنها مربوط به الزامات احراز هویت قوی، بهویژه استفاده از رمز عبور و احراز هویت چند عاملی (MFA) هستند. شیوههای ضعیف احراز هویت، سازمانها و دادهها را در برابر حملات فیشینگ و سایر حملات مرتبط با رمز عبور آسیبپذیر میکند. درک این الزامات جدید برای انطباق با PCI DSS ضروری است. پنج حوزه حیاتی و همچنین تأثیر بالقوه آنها برای کسبوکارها، شامل موارد زیر خواهد بود.
1- الزامات رمز عبور PCI DSS 4.0
یکی از مهمترین بهروزرسانیها در نسخه PCI DSS 4.0شامل مشخصات دقیقتر در مورد رمزهای عبور است. الزامات اصلی رمز عبور PCI DSS 4.0 (بخشهای 8.3.4-8.3.9) شامل موارد زیر است:
- طول و پیچیدگی: رمزهای عبور باید حداقل 12 کاراکتر طول داشته باشند و از کاراکترهای ویژه، حروف بزرگ و کوچک استفاده کنند.
- بازنشانی و استفاده مجدد: رمزهای عبور باید هر 90 روز بازنشانی شوند. استثناء در صورتی اعمال میشود که از احراز هویت مستمر مبتنی بر ریسک استفاده شود، جایی که وضعیت امنیتی حسابها به صورت پویا تجزیه و تحلیل میشود و دسترسی در زمان واقعی بر این اساس تعیین میشود.
- محدودیت تلاشهای ورود: طبق الزامات رمز عبور PCI DSS 4.0، پس از حداکثر 10 تلاش ناموفق ورود، کاربران باید حداقل برای 30 دقیقه یا تا زمانی که هویت خود را از طریق میز خدمت یا سایر روشها تأیید کنند، قفل شوند.
رمزهای عبور طولانیتر برای کاربران سختتر هستند و احتمال نوشتن آنها در جاهای مختلف و یا ذخیره بهطور ناامن در فایلهای روی یک دستگاه بیشتر است. بهروزرسانیهای اجباری نیز تمایل دارند رفتارهای ناامن کاربر را کاهش دهند، از این رو کمی به سمت سادگی سوق داده شدهاند. علاوه بر این، همه این الزامات احتمالاً منجر به افزایش تماسهای میز خدمت میشود. تحقیقات اخیر Forrester نشان میدهد که هزینه متوسط تماس با میز خدمت برای سازمانها حدود 42 دلار در هر تماس است.
2- MFA الزامی برای تمام دسترسیها به CDE
طبق دستورالعملهای PCI DSS 3.2.1، MFA فقط برای مدیرانی که به محیط دادههای دارنده کارت (CDE) دسترسی دارند، الزامی بود. تحت قوانین جدید در بند 8.4.2 در خصوص احراز هویت چند عاملی (MFA)، تمام دسترسیها به CDE باید با احراز هویت چند عاملی محدود شوند. الزامات MFA برای تمام انواع اجزای سیستم، از جمله سیستمهای ابری و برنامههای محلی، دستگاههای امنیتی شبکه، ایستگاههای کاری، سرورها و نقاط انتهایی اعمال میشود.
احراز هویت چند عاملی به عنوان استفاده از دو عامل مستقل از دستههای زیر تعریف میشود:
- چیزی که میدانید، مانند رمز عبور.
- چیزی که دارید، مانند یک توکن سختافزاری.
- چیزی که هستید، مانند یک عنصر بیومتریک.
نسخه 4.0 در راهنمای خود در مورد عوامل احراز هویت، بهطور خاص میگوید که برای استفاده از توکنها، کارتهای هوشمند یا بیومتریک بهعنوان عوامل احراز هویت، به استاندارد FIDO رجوع شود. در حالی که از اجباری نموددن الزام عوامل مبتنی بر FIDO کوتاه میآید، برخی از راهنماییهای دیگر آن، همانطور که در زیر مشاهده خواهید کرد، به یک ترجیح واضح اشاره میکند.
قوانین جدید روشن میکنند که هر بار که به CDE دسترسی پیدا میشود، باید از احراز هویت چند عاملی استفاده شود، حتی اگر کاربر قبلاً از MFA برای احراز هویت در شبکه تحت الزامات دسترسی از راهدور استفاده کرده باشد. این امر باعث ایجاد اصطکاک قابل توجهی برای کارکنان خواهد شد و پیامدهای بالقوهای برای بهرهوری و رضایت کارکنان خواهد داشت. علاوه بر این، اکثر سازمانها، حتی اگر از نوعی MFA استفاده میکنند، فناوری یا سیستمهای صحیح برای رسیدگی به الزام MFA برای دسکتاپها، ایستگاههای کاری و سرورها را ندارند.
3- PCI DSS اکنون MFA را برای تمام دسترسیهای از راهدور الزامی میکند
قبلاً، MFA برای دسترسی از راهدور به محیط دادههای دارنده کارت الزامی بود. با این راهنمای بهروز شده، هر کسی که از خارج از محیط شبکه امن شما وارد سیستم میشود، حتی اگر واقعاً به CDE دسترسی نداشته باشد، باید از احراز هویت چند عاملی استفاده کند. این شامل تمام کارمندان، هم کاربران و هم مدیران، و تمام اشخاص ثالث و فروشندگان میشود.
این همچنین بدان معنی است که هر دسترسی مبتنی بر وب باید از MFA استفاده کند، حتی اگر توسط کارمندان در محل سازمان استفاده شود.
در واقع این بدان معنی است که تمام نیروی کار شما که از راهدور، ترکیبی یا دارای نقشهای حمایتی خارج از سازمان هستند، باید در تمام مواقع از MFA استفاده کنند. این همچنین بدان معنی است که هر کارمندی که از یک برنامه مبتنی بر وب برای دسترسی به شبکهها و سیستمهای شما استفاده میکند، باید از MFA استفاده کند، حتی اگر در محل سازمان باشد. علاوه بر هزینه و دردسرهای راهاندازی MFA، رویههای پیچیده آن میتوانند تأثیر منفی بر بهرهوری و رضایت کارکنان داشته باشند.
4- الزامات پیکربندی MFA در PCI DSS
استاندارد جدید نه تنها مشخص میکند که چه کسی و در چه زمانی باید از MFA استفاده کند، بلکه همچنین دستورالعملهایی را در مورد نحوه پیکربندی سیستمهای MFA برای جلوگیری از سوء استفاده ارائه میدهد. بسیاری از راهحلهای سنتی MFA در برابر حملات مرد میانی، بمباران فشار (Push Bombing) و سایر حملات که کنترلهای MFA را دور میزنند، آسیبپذیر هستند. الزام 8.5 ضعفها و پیکربندیهای نادرست را برای ارزیابی انطباق با PCI مشخص میکند. این موارد عبارتند از:
- سیستم MFA شما نباید مستعد حملات تکرار (یا مرد میانی) باشد.
- MFA نباید قابل دور زدن باشد، مگر اینکه یک استثناء خاص مستند شده و توسط مدیریت مجاز باشد.
- راهحل MFA شما باید از دو عامل مختلف و مستقل برای احراز هویت استفاده کند.
- دسترسی نباید تا زمانی که تمام عوامل احراز هویت موفقیتآمیز باشند، اعطا شود.
همانطور که قبلا اشاره شد، راهنمای PCI DSS در مورد انواع عوامل احراز هویت به استاندارد FIDO اشاره میکند. احراز هویت FIDO مقاوم در برابر فیشینگ است، حملات تکرار را از بین میبرد ذاتا چند عاملی است.
اگر راهکار MFA شما از SMS، OTP یا سایر روشهای ناامن استفاده میکند، ممکن است با الزامات PCI مطابقت نداشته باشد.
5- پروتکلهای رمزنگاری قوی
در حالی که نسخههای قبلی PCI DSS استفاده از پروتکلهای رمزنگاری قوی برای محافظت از تراکنشها و دادههای دارنده کارت را الزامی میکرد،PCI DSS 4.0 این الزام رمزنگاری را گسترش نیز داده است. با قوانین جدید، هر داده احراز هویت حساس ذخیره شده (SAD) باید با استفاده از رمزنگاری قوی رمزگذاری شود.
با توجه به این الزام، اگر سیستم احراز هویت شما به درستی دادههای احراز هویت را رمزگذاری و ذخیره نمیکند، ممکن است با الزامات PCI مطابقت نداشته باشد.
انطباق با PCI DSS 4.0 با استفاده از راهکار احراز هویت نشانه
چارچوب جدید PCI DSS اکنون بسیار نزدیکتر با سایر دستورالعملهای هویت دیجیتال که از پذیرش MFA مقاوم در برابر فیشینگ مبتنی بر FIDO و یک رویکرد احراز هویت اعتماد صفر حمایت میکنند، همسو شده است.
راهکار احراز هویت نشانه، به سازمانها کمک میکند تا با الزامات احراز هویت چندعاملی PCI DSS گنجانده شده در استاندارد انطباق پیدا نمایند. نشانه رویکرد سنتی مبتنی بر رمز عبور را با احراز هویت بدون رمز عبور امن جایگزین میکند که توسط FIDO تایید شده و بر اساس کلیدهای عبور (Passkey) است. عناصر اصلی راهکار نشانه، مانند ادغام احراز هویت بیومتریک، داشتن یک دستگاه قابل اعتماد و توکنهای رمزنگاری ذخیره شده در TPM دستگاه، احراز هویت چند عاملی قوی و مقاوم در برابر فیشینگ را فراهم و مطابقت با الزامات PCI DSS را تضمین میکند.
در عین حال، نشانه تجربه کاربری را به طور قابل توجهی بهبود میبخشد، نیاز به رمزهای عبور طولانی و پیچیده را از بین برده و احراز هویت چند عاملی را تنها به یک حرکت ساده کاربران تبدیل میکند.