Em 2022, foi apresentada a vers\u00e3o 4 para substituir a vers\u00e3o 3.2.1 do padr\u00e3o PCI DSS do PCI SSC. Embora os 12 requisitos ainda estejam em vigor, foram introduzidas algumas altera\u00e7\u00f5es de diferentes naturezas. Os principais objetivos destas atualiza\u00e7\u00f5es s\u00e3o otimizar as t\u00e9cnicas de controle e valida\u00e7\u00e3o para obter clareza nas informa\u00e7\u00f5es de compliance, promover o uso da seguran\u00e7a em todas as fases dos processos, melhorar as pr\u00e1ticas de seguran\u00e7a e proporcionar flexibilidade e integra\u00e7\u00e3o com outras metodologias.<\/p>\n\n\n\n
Entre as principais inova\u00e7\u00f5es estabelecidas pela norma, podem ser identificadas uma gest\u00e3o mais rigorosa de autentica\u00e7\u00e3o, avalia\u00e7\u00e3o de riscos e monitoramento por meio de processos automatizados de detec\u00e7\u00e3o de eventos, testes e varredura de vulnerabilidades, entre outros.<\/p>\n\n\n\n
Os 12 requisitos j\u00e1 conhecidos e estabelecidos continuam presentes e s\u00e3o o pilar fundamental da norma. No entanto, espera-se que as organiza\u00e7\u00f5es implementem obrigatoriamente alguns aspectos que, at\u00e9 \u00e0 vers\u00e3o anterior, eram considerados boas pr\u00e1ticas e com a v.4 ser\u00e3o obrigat\u00f3rios a partir de 2025:<\/p>\n\n\n\n
-Implemente solu\u00e7\u00f5es antimalware que realizam varreduras em m\u00eddias remov\u00edveis ou an\u00e1lises comportamentais de sistemas.
-Implemente tecnologia para detectar e bloquear ataques de phishing.
-Use tecnologias WAF.
-Realize avalia\u00e7\u00f5es de usu\u00e1rios semestrais.
-Implemente solu\u00e7\u00f5es para an\u00e1lise din\u00e2mica de seguran\u00e7a de contas.
-Use mecanismos automatizados para realizar revis\u00f5es de logs de auditoria.
-Ter capacidade de detectar falhas em equipamentos de rede, IDS\/IPS, FIM, AV, controles de acesso f\u00edsico e controles de segmenta\u00e7\u00e3o.
-Execute verifica\u00e7\u00f5es internas autenticadas.
-Tenha IDS\/IPS em canais de comunica\u00e7\u00e3o secretos de malware.
-Implemente tecnologia para detectar altera\u00e7\u00f5es n\u00e3o autorizadas em cabe\u00e7alhos HTTP e conte\u00fados de p\u00e1ginas de pagamento.
-Crie programas de conscientiza\u00e7\u00e3o para evitar ataques de phishing e engenharia social.
-Tenha mecanismos para detectar PAN fora do intervalo.<\/p>\n\n\n\n
A INSSIDE Cybersecurity conta com uma equipe de especialistas no padr\u00e3o PCI DSS e auditores que acompanham as organiza\u00e7\u00f5es no alinhamento e cumprimento do padr\u00e3o para alcan\u00e7ar o sucesso da auditoria.<\/p>\n\n\n\n