PCI DSS 3.2 внеочередной апдейт: новые критерии и ужесточение требований (v2017)

PCI DSS 3.2 внеочередной апдейт: новые критерии и ужесточение требований (v2017)
Международный совет PCI SSC в прошлом году, а именно 28 апреля 2016 года на своем официальном сайте  опубликован пресс-релиз с сообщением о выходе новой версии стандарта безопасности данных индустрии платежных карт PCI DSS v3.2. Данная версия стандарта получилась внеплановая, и вызвано это было усложнением общей обстановки мире кибер-безопасности и громкими инцидентами ИБ в финансовом секторе произошедшими за предыдущее время.

Пока новые требования PCI DSS v3.2 остаются еще рекомендательными, однако с 1 февраля 2018 года все они станут обязательными для выполнения. В сегодняшней статье мы кратко пробежимся по самым очевидным и ключевым изменениям в новой редакции стандарта

Новая версия стандарта PCI DSS 3.2 уже доступна для подписчиков и финансовых организация являющихся глобальными членами сообщества. В целом нововведения затронули как общую терминологию, так и усилили некоторые разделы существующих требования  к обеспечению информационной безопасности.

Версия стандарта PCI DSS 3.1, былы актуальна до конца 28 октября 2016 года. Соответственно до этой же даты можно было и проводить аудит организации на соответствие требованиям стандарта PCI DSS 3.1 или PCI DSS  3.2 в зависимости от предпочтений. В 2017 же году все организации должны переходить на стандарт версии PCI DSS  3.2


Общие изменения в   PCI DSS  3.2 :
  • для всех изменений в  ИТ-инфраструктуре  организации теперь необходимо дополнительно проверять, что все применимые требования стандарта PCI DSS по прежнему остаются выполнены;
  • для удаленного  административного доступа требуется реализовать мультифакторную аутентификацию взамен двух-факторной;
  • любое сертифицированное приложение, если  его поддержка производителем прекратилась (например, у ПО появился статус «End-of-life»), то это приложение уже не  обеспечивает необходимый уровень безопасности;
  • при определении границ области применимости стандарта PCI DSS следует учитывать системы, обеспечивающие непрерывность работы компонентов информационной инфраструктуры: системы резервного копирования и восстановления, отказоустойчивые системы;
  • необходимо изменять все стандартные настройки и отключать стандартные учетные записи. Согласно пояснению, это требование касается и платежных приложений;
  • добавлено примечание в проверочную процедуру по поиску полного номера карты PAN:  логи необходимо анализировать и для платежных приложений;
  • добавлено примечание к требованию 3.4.1 по шифрованию дисков: это требование применимо в дополнение ко всем другим требованиям по шифрованию и управлению ключами в области применимости стандарта;
  • разработчики должны как минимум ежегодно обучаться методам безопасного программирования;
  • добавлено примечание к требованию по системе контроля доступа (видеонаблюдение либо СКУД, либо обе технологии одновременно);
  • необходимо обеспечить контроль удаленного доступа любой третьей стороны.
Исключительно к поставщикам услуг:
  • теперь в случае использования шифрования, всю архитектуру этой системы требуется документировать;
  • требуется контролировать работоспособность систем безопасности. В случае возникновения сбоев в работе таких систем следует выполнить процедуры реагирования;
  • тестирование на проникновение (пен-тест) в части сегментации сети необходимо проводить не реже одного раза в шесть месяцев;
  • в организации должен быть внедрен высокоуровневый документ, в котором будет описана программа соответствия требованиям стандарта PCI DSS и назначен ответственный работник;
  • не реже одного раза в квартал необходимо проверять, что работники организации корректно выполняют процедуры по ежедневному анализу журналов протоколирования событий, пересмотру правил межсетевого экранирования, применению стандартов конфигурации для новых систем, реагированию на сигналы систем безопасности, а также соблюдают процедуры управления изменениями.
По мимо этого результаты каждой проводимой проверки ИБ обязательно должны быть задокументированы. Станет обязательным и наличие у каждого поставщика услуг программы поддержания соответствия требованиям стандарта PCI DSS, а именно следующие мероприятия:
  • порядок выполнения постоянного мониторинга соответствия;
  • порядок выполнения регулярных процедур;
  • порядок выполнения ежегодных проверок;
  • порядок оценки влияния стандарта PCI DSS на бизнес-решения.
PCI DSS 3 3.2 стандарт требования ужесточение контроли аудит пен тест pen test аутентификация
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события