13 Января, 2017

PCI DSS 3.2 внеочередной апдейт: новые критерии и ужесточение требований (v2017)

Иван Пискунов
Международный совет PCI SSC в прошлом году, а именно 28 апреля 2016 года на своем официальном сайте  опубликован пресс-релиз с сообщением о выходе новой версии стандарта безопасности данных индустрии платежных карт PCI DSS v3.2. Данная версия стандарта получилась внеплановая, и вызвано это было усложнением общей обстановки мире кибер-безопасности и громкими инцидентами ИБ в финансовом секторе произошедшими за предыдущее время.

Пока новые требования PCI DSS v3.2 остаются еще рекомендательными, однако с 1 февраля 2018 года все они станут обязательными для выполнения. В сегодняшней статье мы кратко пробежимся по самым очевидным и ключевым изменениям в новой редакции стандарта

Новая версия стандарта PCI DSS 3.2 уже доступна для подписчиков и финансовых организация являющихся глобальными членами сообщества. В целом нововведения затронули как общую терминологию, так и усилили некоторые разделы существующих требования  к обеспечению информационной безопасности.

Версия стандарта PCI DSS 3.1, былы актуальна до конца 28 октября 2016 года. Соответственно до этой же даты можно было и проводить аудит организации на соответствие требованиям стандарта PCI DSS 3.1 или PCI DSS  3.2 в зависимости от предпочтений. В 2017 же году все организации должны переходить на стандарт версии PCI DSS  3.2


Общие изменения в   PCI DSS  3.2 :
  • для всех изменений в  ИТ-инфраструктуре  организации теперь необходимо дополнительно проверять, что все применимые требования стандарта PCI DSS по прежнему остаются выполнены;
  • для удаленного  административного доступа требуется реализовать мультифакторную аутентификацию взамен двух-факторной;
  • любое сертифицированное приложение, если  его поддержка производителем прекратилась (например, у ПО появился статус «End-of-life»), то это приложение уже не  обеспечивает необходимый уровень безопасности;
  • при определении границ области применимости стандарта PCI DSS следует учитывать системы, обеспечивающие непрерывность работы компонентов информационной инфраструктуры: системы резервного копирования и восстановления, отказоустойчивые системы;
  • необходимо изменять все стандартные настройки и отключать стандартные учетные записи. Согласно пояснению, это требование касается и платежных приложений;
  • добавлено примечание в проверочную процедуру по поиску полного номера карты PAN:  логи необходимо анализировать и для платежных приложений;
  • добавлено примечание к требованию 3.4.1 по шифрованию дисков: это требование применимо в дополнение ко всем другим требованиям по шифрованию и управлению ключами в области применимости стандарта;
  • разработчики должны как минимум ежегодно обучаться методам безопасного программирования;
  • добавлено примечание к требованию по системе контроля доступа (видеонаблюдение либо СКУД, либо обе технологии одновременно);
  • необходимо обеспечить контроль удаленного доступа любой третьей стороны.
Исключительно к поставщикам услуг:
  • теперь в случае использования шифрования, всю архитектуру этой системы требуется документировать;
  • требуется контролировать работоспособность систем безопасности. В случае возникновения сбоев в работе таких систем следует выполнить процедуры реагирования;
  • тестирование на проникновение (пен-тест) в части сегментации сети необходимо проводить не реже одного раза в шесть месяцев;
  • в организации должен быть внедрен высокоуровневый документ, в котором будет описана программа соответствия требованиям стандарта PCI DSS и назначен ответственный работник;
  • не реже одного раза в квартал необходимо проверять, что работники организации корректно выполняют процедуры по ежедневному анализу журналов протоколирования событий, пересмотру правил межсетевого экранирования, применению стандартов конфигурации для новых систем, реагированию на сигналы систем безопасности, а также соблюдают процедуры управления изменениями.
По мимо этого результаты каждой проводимой проверки ИБ обязательно должны быть задокументированы. Станет обязательным и наличие у каждого поставщика услуг программы поддержания соответствия требованиям стандарта PCI DSS, а именно следующие мероприятия:
  • порядок выполнения постоянного мониторинга соответствия;
  • порядок выполнения регулярных процедур;
  • порядок выполнения ежегодных проверок;
  • порядок оценки влияния стандарта PCI DSS на бизнес-решения.