Что означают новые изменения в анкетах самооценки (SAQ) PCI DSS?
Изначально опубликовано LAURA K. GRAY 30 января 2017 на PCI DSS
Анкеты самооценки(SAQ) – это формы, используемые правомочными организациями для представления отчетов по результатам самооценки согласно стандарту безопасности данных индустрии платежных карт (PCI DSS). 30-го января Совет по стандартам безопасности индустрии платежных карт (PCI SSC) выпустил обновленные анкеты (SAQ), которые будут использоваться наряду с версией 3.2 Стандарта PCI DSS. В ходе данного интервью со старшим директором по стандартам безопасности данных Совета (PCI SSC) – Эммой Сатклифф (Emma Sutcliffe) мы разберемся в том, что ТСП должны знать относительно обновления Анкет (SAQ).
Анкеты (SAQ) были обновлены наряду с публикацией стандарта PCI DSS 3.2 в апреле 2016 года. Зачем Совет PCI вносит изменения в анкеты сейчас?
Эмма Сатклифф: Изменения уточняют запутанные моменты, о которых PCI SSC сообщили владельцы предприятий с того момента, как анкеты были обновлены в апреле 2016 года, чтобы привести их к соответствию с версией 3.2. Изменения такого рода мы можем назвать “errata” – иррейта. Это способ исправления языка написания, который не был достаточно чётким, с выявлением опечаток и грамматических ошибок.
Это не какое-то глобальное обновление, однако изменения все же включают дополнения и могут повлиять на подход к заполнению анкет. Кроме того, некоторым ТСП, возможно, придется начать выполнять оценки по дополнительным требованиям, потому для ТСП так важно просмотреть применимые анкеты и проработать их со своими торговыми банками-эквайерами, чтобы иметь понимание всех приведенных значений.
Будут ли появляться новые анкеты (SAQ)?
Emma Sutcliffe: Нет, новых анкет не будет. На данный момент имеется девять анкет, каждая из которых предназначена для различных способов хранить, обрабатывать или передавать данные держателей карт. Иррейта вводит небольшие изменения в некоторые из существующих анкет.
Какие анкеты изменились?
Эмма Сатклифф: Обновленные анкеты: SAQ A: ТСП с транзакциями без участия платежной карты: все действия с данными держателей карт производятся сторонними организациями; SAQ B-IP: ТСП с автономными терминалами POI, имеющими IP-соединения – без хранения электронных данных держателей карт; SAQ-C: ТСП с системами платежных приложений, имеющих соединение с сетью Интернет – без хранения электронных данных держателей карт; SAQ-C-VT: ТСП с виртуальными платежными терминалами на веб-основе – без хранения электронных данных держателей карт.
О каких ключевых изменениях должны знать ТСП?
Эмма Сатклифф:Обновление включает добавление двух требований в анкеты B-IP и C-VT. Первое требование 8.3.1 (реализация многофакторной аутентификации для всех средств неконсольного доступа сотрудников с правами администратора в среду ДДК). К ТСП, управляющим административным доступом посредством неконсольных соединений, уже применяется требование относительно шифрования каналов с использованием стойких криптографических алгоритмов (требование 2.3), а добавление требования 8.3.1 определяет системность защиты этих соединений.
Второе требование, добавленное в анкеты – это требование 11.3.4 (в случае использования сегментации необходимо подтвердить проверку сегментации). Обе анкеты B-IP и C-VT требуют применения специальных типов устройств и отсутствия подключения определенных устройств к другим системам. Внесение требования 8.3.1 в Анкеты B-IP и C-VT соответствует требованиям других анкет для ТСП, использующих сегментацию.
Детали изменений каждой анкеты можно найти в таблице “Изменения в документе” в начале каждой анкеты.
Когда ТСП должны начать использовать обновленные анкеты?
Эмма Сатклифф:Предусмотрен период перехода, дающий ТСП время на изучение изменений в применимых анкетах и на подготовку к их адаптации. ТСП могут продолжать использовать анкеты, выпущенные в апреле 2016 года (ревизия 1.0) до 30-го сентября 2017 года. С 1-го октября 2017 года ТСП должны будут использовать обновленную версию анкет (ревизия 1.1, выпущенная 30-го января 2017 года). До 1-го октября 2017 года ТСП могут использовать как версию анкет от апреля 2016 года, так и от января 2017 года.
Как ТСП определяют, которую из анкет они должны использовать?
Эмма Сатклифф: ТСП должны связаться со своим эквайером или применимым платежным брендом, чтобы понять имеют ли они право или же должны представлять анкеты, если да, то какая из анкет соответствует их среде. |