PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Вступают в силу новые требования к стандарту безопасности данных индустрии платежных карт PCI DSS 3.0

С приходом Нового года вступают в силу и новые требования к стандарту безопасности данных индустрии платежных карт (PCI DSS). Хотя соблюдение некоторых требований станет обязательным лишь с 1 июля, организациям потребуется время, чтобы приспособиться к новым требованиям. Подробнее о новой версии стандарта, а также о произошедших изменениях можно прочитать здесь: новая версия PCI DSS 3.0 и здесь: Копилка полезностей

Многие интернет-магазины, которые перенаправляют платежи третьей стороне, теперь также должны будут проходить аудиты соответствия стандарту, даже если они не обрабатывают данные о держателях карт. Майкл Аминзаде, вице-президент TrustWave, отметил ряд важных новых положений:

"Например, ритейлеры, которые продают товары онлайн и принимают платежи через стороннего провайдера, теперь также должны будут соблюдать требования стандарта. Несмотря на то, что такие ритейлеры на самом деле не передают, не хранят и не обрабатывают данные о держателях карт, они будут проходить аудит на соответствие, так как могут повлиять на поток данных карт. PCI 3.0 разъясняет интернет-магазинам основы обеспечения безопасности данных держателей карт и необходимость полностью соответствовать новым требованиям."

С 1 июля также вступают в действие требования, предусматривающие более жесткие требования к тестам на проникновение.

"При проведении теста на проникновение, мерчанты, а также все, кто проходит тест, должны следовать стандартной процедуре."- добавил Аминзаде- "Мерчанты должны гарантировать, что инструменты, которые они используют для тестирования на проникновение своих сетей, приложений, баз данных или POS-систем соответствует новым требованиям. Стандарт также предписывает выбор независимого эксперта, проводящего тест на проникновение- то есть человек, управляющий системой, не может ее тестировать. Наконец, если мерчант выделяет среду обработки данных держателей карт в отдельный сегмент, чтобы уменьшить область действия PCI, теперь необходимо доказать изоляцию этой области, а аудитор должен удостовериться в том, что сегментация адекватно уменьшает область оценки."

Всвязи с этим, первый разделе обновленной версии стандарта включает в себя более жесткие требования к топологии сети.

"С 1 января недостаточно просто составить схему проводов и маршрутизаторов, теперь необходимо показать, как данные проходят по сети."- сказал Майк Ллойд, главный технический директор RedSeal Networks- "То есть, вы не можете просто указать, сколько у вас маршрутизаторов- вы должны показать, как работает ваша инфраструктура, как обрабатываются транзакции по кредитным картам."

Питер Пеннинг, эксперт PricewaterhouseCoopers, отметил, что версия стандарта 3.0 также добавляет новый набор требований, направленных на физическую безопасность карт-ридеров.

"Новые требования (9,9, 9.9.1, 9.9.2, 9.9.3) утверждают, что проверяемая организация должна обеспечить защиту устройств, считывающих данные с платежных карт путем прямого физического взаимодействия с картой, от подделки и подмены . Осуществлять эти требования рекомендуется путем ведения списка устройств, периодической проверки устройств на случай взлома или подмены, а также наблюдения сотрудниками за подозрительными лицами и сообщения о взломе или подмене устройств. Это требование вызовет наибольшие сложности у крупных мерчантов с географически-распределенной операционной моделью.

Конечно, новые требования не станут решением ко всем проблемам с мошенничеством с платежными картами, однако, последние изменения PCI DSS обозначили некоторые из проблемных областей, наиболее часто эксплуатируемых киберпреступниками"- сказал Аминзаде-"Требования стандарта должны стать основой, на которой можно построить надежную многослойную стратегию безопасности. Приняв такие меры безопасности как первоочередную стратегию, организации будут иметь полное представление о степени риска и будут в состоянии поддерживать соответствие стандарту PCI 3.0."

Источник: securityweek.com

сообщество | стандарт | pci dss russia
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры