Совет PCI SSC внёс порядка 50 изменений в стандарт PCI DSS и обновил его версию с 4.0 на 4.0.1. Сразу стоит отметить, что все изменения не добавляют, не удаляют и кардинально не изменяют требования Стандарта и его проверочные процедуры. Изменения минорные. Но именно в деталях скрываются нюансы, которые могут пригодиться на этапах внедрения Стандарта, поддержке соответствия и QSA-аудитах. Рассмотрим их подробнее и остановимся на наиболее примечательных.
1. Совет всё больше внимания уделяет аутсорсингу соответствия Стандарту. Это особенно актуально с учётом роста популярности услуг защищённых ЦОД, включая IaaS, SecaaS, Comliance as a Service.
2. Во всем Стандарте, где критерием применимости было "влияние на безопасность инфраструктуры", теперь заменили на "влияние на безопасность данных о держателе карт или критичных аутентификационных данных". В редких случаях это потенциально может повлиять на границы области применимости Стандарта, хотя в большинстве случаев будет являться просто более корректной формулировкой.
3. Теперь в Стандарте отдельно описано, что делать с ситуациями, когда компания получает данные платёжных карт по каналам, не предназначенным для передачи этих данных. На практике это: формы обратной связи, почта, чаты и другие. Канал нужно включать в скоуп PCI DSS, либо безопасно удалять данные платёжных карт и внедрять контрмеры, чтобы больше не получать данные платёжных карт по такому каналу.
4. Совет детализировал требования к защите электронной коммерции и веб-технологий. Например, контроль целостности скриптов и заголовков должен быть внедрён и на страницах, в которых встроен iframe с платёжной формой.
5. Помимо того, что каждый скрипт необходимо согласовывать перед добавлением на платёжную страницу и контролировать его целостность, необходимо проводить инвентаризацию скриптов и поддерживать их перечень. В таком перечне для каждого скрипта должна быть указана бизнес потребность или техническая необходимость его добавления на платёжную страницу.
6. В доработанном Стандарте Совет уделил много внимания разграничению ответственности с третьими сторонами. Особенный акцент сделан на поставщиках услуг, которые забирают со своих клиентов ответственность за часть требований PCI DSS.
По PCI DSS версии 4.0 можно будет проходить аудит до декабря 2024 года. После декабря нужно будет использовать новую актуальную версию PCI DSS версии 4.0.1 для сертификационных аудитов.
Стандарт PCI DSS продолжает модернизироваться, а мы продолжаем готовиться к 2025 году, когда вступят в силу новые требования.
1. Совет всё больше внимания уделяет аутсорсингу соответствия Стандарту. Это особенно актуально с учётом роста популярности услуг защищённых ЦОД, включая IaaS, SecaaS, Comliance as a Service.
2. Во всем Стандарте, где критерием применимости было "влияние на безопасность инфраструктуры", теперь заменили на "влияние на безопасность данных о держателе карт или критичных аутентификационных данных". В редких случаях это потенциально может повлиять на границы области применимости Стандарта, хотя в большинстве случаев будет являться просто более корректной формулировкой.
3. Теперь в Стандарте отдельно описано, что делать с ситуациями, когда компания получает данные платёжных карт по каналам, не предназначенным для передачи этих данных. На практике это: формы обратной связи, почта, чаты и другие. Канал нужно включать в скоуп PCI DSS, либо безопасно удалять данные платёжных карт и внедрять контрмеры, чтобы больше не получать данные платёжных карт по такому каналу.
4. Совет детализировал требования к защите электронной коммерции и веб-технологий. Например, контроль целостности скриптов и заголовков должен быть внедрён и на страницах, в которых встроен iframe с платёжной формой.
5. Помимо того, что каждый скрипт необходимо согласовывать перед добавлением на платёжную страницу и контролировать его целостность, необходимо проводить инвентаризацию скриптов и поддерживать их перечень. В таком перечне для каждого скрипта должна быть указана бизнес потребность или техническая необходимость его добавления на платёжную страницу.
6. В доработанном Стандарте Совет уделил много внимания разграничению ответственности с третьими сторонами. Особенный акцент сделан на поставщиках услуг, которые забирают со своих клиентов ответственность за часть требований PCI DSS.
По PCI DSS версии 4.0 можно будет проходить аудит до декабря 2024 года. После декабря нужно будет использовать новую актуальную версию PCI DSS версии 4.0.1 для сертификационных аудитов.
Стандарт PCI DSS продолжает модернизироваться, а мы продолжаем готовиться к 2025 году, когда вступят в силу новые требования.