Новые подходы стандарта
PCI DSS 4.0
PCI DSS 4.0
В 2022 году Совет PCI SSC опубликовал новую версию стандарта PCI DSS. Несмотря на геополитические изменения, соответствие PCI DSS все еще является обязательным требованием платежной системы «Мир». Ниже рассмотрены основные изменения новой версии стандарта 4.0 от предшествующей версии 3.2.1.
Основные изменения в PCI DSS 4.0
- Добавлен новый подход к выполнению требований.
- Добавлены пояснения к критериям области применимости стандарта.
- Добавлены новые требования с отложенным обязательным выполнением.
- Скорректирована терминология и формулировки.
- Перенесена информация из вспомогательных руководств в разделы стандарта.
Важным изменением является добавление индивидуального подхода к выполнению требований стандарта. В настоящий момент все требования должны выполняться напрямую, по заранее определенному подходу, единому для всех компаний. Индивидуальный подход позволяет расширить возможности по выполнению требований, предлагая более гибкие варианты. Каждое требование теперь содержит описание цели, которую необходимо достигнуть, при этом компания вправе самостоятельно выбирать средства и методы достижения этой цели. Аудитор при этом самостоятельно выберет способ проверки и убедится, что цель требования достигнута.
Сложность индивидуального подхода заключается в необходимости выполнения таргетированного анализа рисков для каждого такого требования.
Сложность индивидуального подхода заключается в необходимости выполнения таргетированного анализа рисков для каждого такого требования.
К каким требованиям не применим индивидуальный подход?
- Требования 3.3.1 – 3.3.1.3Запрет на хранение критичных аутентификационных данных после авторизации транзакции.
- Требование 3.3.2Шифрование критичных аутентификационных данных при хранении до авторизации транзакции.
- Требование 3.5.1.2Если используется шифрование на уровне диска, то такое шифрование допустимо использовать только на съемных носителях. В остальных случаях требуется применять дополнительные меры для шифрования PAN.
- Требование 11.3.2Выполнение ASV-сканирования.
- Все требования Приложения A2 и А3.
Данные требования могут быть выполнены только c использованием определенного подхода (Defined approach) напрямую или с использованием компенсационных мер.
Порядок перехода на PCI DSS 4.0
Согласно плану перехода, пройти QSA-аудит по новой версии PCI DSS 4.0 можно уже сейчас. С третьего квартала 2022 года можно проходить аудит как по версии 3.2.1, так и по версии 4.0. Однако, с 31 марта 2024 года PCI DSS 3.2.1 утратит силу.
