PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Об изменениях в анкетах самооценки (SAQ) PCI DSS?

Что означают новые изменения в анкетах самооценки (SAQ) PCI DSS?

Изначально опубликовано  LAURA K. GRAY  30 января 2017 на PCI DSS

Анкеты самооценки(SAQ) – это формы, используемые правомочными организациями для представления отчетов по результатам самооценки согласно стандарту безопасности данных индустрии платежных карт (PCI DSS). 30-го января Совет по стандартам безопасности индустрии платежных карт (PCI SSC) выпустил обновленные анкеты (SAQ), которые будут использоваться наряду с версией 3.2 Стандарта PCI DSS. В ходе данного интервью со старшим директором по стандартам безопасности данных Совета (PCI SSC) – Эммой Сатклифф (Emma Sutcliffe) мы разберемся в том, что ТСП должны знать относительно обновления Анкет (SAQ).

Анкеты (SAQ) были обновлены наряду с публикацией стандарта PCI DSS 3.2 в апреле 2016 года. Зачем Совет PCI вносит изменения в анкеты сейчас?

Эмма Сатклифф: Изменения уточняют запутанные моменты, о которых PCI SSC сообщили владельцы предприятий с того момента, как анкеты были обновлены в апреле 2016 года, чтобы привести их к соответствию с версией 3.2. Изменения такого рода мы можем назвать “errata” – иррейта. Это способ исправления языка написания, который не был достаточно чётким, с выявлением опечаток и грамматических ошибок.

Это не какое-то глобальное обновление, однако изменения все же включают дополнения и могут повлиять на подход к заполнению анкет. Кроме того, некоторым ТСП, возможно, придется начать выполнять оценки по дополнительным требованиям, потому для ТСП так важно просмотреть применимые анкеты и проработать их со своими торговыми банками-эквайерами, чтобы иметь понимание всех приведенных значений.

Будут ли появляться новые анкеты (SAQ)?

Emma Sutcliffe: Нет, новых анкет не будет. На данный момент имеется девять анкет, каждая из которых предназначена для различных способов хранить, обрабатывать или передавать данные держателей карт. Иррейта вводит небольшие изменения в некоторые из существующих анкет.

Какие анкеты изменились?

Эмма Сатклифф: Обновленные анкеты: SAQ A: ТСП с транзакциями без участия платежной карты: все действия с данными держателей карт производятся сторонними организациями; SAQ B-IP: ТСП с автономными терминалами POI, имеющими IP-соединения – без хранения электронных данных держателей карт; SAQ-C: ТСП с системами платежных приложений, имеющих соединение с сетью Интернет – без хранения электронных данных держателей карт; SAQ-C-VT: ТСП с виртуальными платежными терминалами на веб-основе – без хранения электронных данных держателей карт.

О каких ключевых изменениях должны знать ТСП?

Эмма Сатклифф:Обновление включает добавление двух требований в анкеты B-IP и C-VT. Первое требование 8.3.1 (реализация многофакторной аутентификации для всех средств неконсольного доступа сотрудников с правами администратора в среду ДДК). К ТСП, управляющим административным доступом посредством неконсольных соединений, уже применяется требование относительно шифрования каналов с использованием стойких криптографических алгоритмов (требование 2.3), а добавление требования 8.3.1 определяет системность защиты этих соединений.

Второе требование, добавленное в анкеты – это требование 11.3.4 (в случае использования сегментации необходимо подтвердить проверку сегментации). Обе анкеты B-IP и C-VT требуют применения специальных типов устройств и отсутствия подключения определенных устройств к другим системам. Внесение требования 8.3.1 в Анкеты B-IP и C-VT соответствует требованиям других анкет для ТСП, использующих сегментацию.

Детали изменений каждой анкеты можно найти в таблице “Изменения в документе” в начале каждой анкеты.

Когда ТСП должны начать использовать обновленные анкеты?

Эмма Сатклифф:Предусмотрен период перехода, дающий ТСП время на изучение изменений в применимых анкетах и на подготовку к их адаптации. ТСП могут продолжать использовать анкеты, выпущенные в апреле 2016 года (ревизия 1.0) до 30-го сентября 2017 года. С 1-го октября 2017 года ТСП должны будут использовать обновленную версию анкет (ревизия 1.1, выпущенная 30-го января 2017 года). До 1-го октября 2017 года ТСП могут использовать как версию анкет от апреля 2016 года, так и от января 2017 года.

Как ТСП определяют, которую из анкет они должны использовать?

Эмма Сатклифф: ТСП должны связаться со своим эквайером или применимым платежным брендом, чтобы понять имеют ли они право или же должны представлять анкеты, если да, то какая из анкет соответствует их среде.

КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры