Чергова позачергова версія стандарту PCI DSS v3.2

За традицією у квітні 2016 опубліковано чергова позачергова версія стандарту PCI DSS v3.2.
Нова версія вводить уточнення, які вступають негайно, а також розширює вимоги щодо маскированию PAN. Тепер маскування має забезпечувати відображення мінімально необхідної кількості цифр номера карти. Для відображення додаткових цифр (за винятком перших 6 і останніх 4) необхідно обґрунтування. Раніше таке обґрунтування надавало право перегляду всього номери
Ряд додаткових вимог стандарту поширюється на всі організації і набуває чинності з 1 лютого 2018 року, в тому числі:
  • після внесення змін до системи або мережі, для них необхідно буде забезпечити виконання вимоги PCI DSS та обновити відповідну документацію;
  • при дистанційному (не консольному вході адміністраторів необхідно буде застосовувати багатофакторну аутентифікацію (2 або більше).
    Постачальники послуг з 1 лютого 2018 року повинні будуть:
    • мати актуальне опис своєї криптографічного архітектури;
    • забезпечити своєчасне виявлення та інформування про відмову ключових захисних заходів, у тому числі контролю фізичного доступу;

    • забезпечити своєчасне реагування на відмову ключових захисних заходів, у тому числі їх відновлення та вжиття заходів щодо недопущення появи причин відмови;
    • проводити тестування на проникнення заходів щодо сегментації як мінімум кожні півроку та в разі внесення змін до використовувані способи або методи сегментації;
    • призначити відповідального за захист даних власників карт і забезпечення відповідності вимогам PCI DSS;
    • здійснювати щоквартальну перевірку дотримання політики безпеки та операційних процедур;
    • зберігати документальні свідчення таких перевірок.
    Крім того, в нову версію стандарту увійшли додаткові вимоги, спрямовані на інтеграцію діяльності по захисту даних власників платіжних карт в операційну діяльність організацій (BAU – business-as-usual). Ці вимоги пред'являються до окремим організаціям за рішенням платіжних систем.
    огляд змін можна ознайомитися на сайт PCI Security Standards Council.


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.