PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

PCI DSS v.3: предварительный обзор основных изменений Стандарта

15 августа Совет PCI SSC выпустил документ, содержащий общее описание всех будущих изменений, которые войдут в третьи версии PCI DSS и PA-DSS.

Основная идея будущего обновления – интеграция требований PCI DSS в существующие бизнес-процессы без влияния на нормальное выполнение стандартных функциональных операций организации (реализация идиомы «business-as-usual»). Вносимые изменения должны помочь организациям сосредоточиться непосредственно на обеспечении безопасности карточных данных, а не на приведении в соответствие «для галочки».

Как и текущая версия PCI DSS, третья версия Стандарта разрабатывается без привязки к конкретным системам и технологиям. Непосредственно описание реализации требований для конкретных технологий, например, реализация требований при приеме платежей посредством мобильных POS (mPOS) или выполнение требований в виртуальной инфраструктуре, будут выпускаться сообществами PCI Special Interest Groups (SIG) в рамках руководств (guidelines). Эти руководства по мере их появления публикуются в библиотеке документов Совета по адресу: https://www.pcisecuritystandards.org/security_standards/documents.php?agreements=pcidss&association=pcidss

Основными факторами, повлиявшими на изменения в PCI DSS, стали:

  • слабые пароли и аутентификационная политика
  • обеспечение ИБ при взаимодействии с третьими сторонами
  • проблемы в обнаружении вредоносного ПО
  • отсутствие обучения и недостаточная осведомленность сотрудников по вопросам ИБ
  • На данный момент вносимые в стандарт изменения находятся в процессе согласования и окончательно не утверждены, однако, определены основные направления изменений.

    Общие изменения PCI DSS:

  • Вносится уточнение о том, что чувствительные аутентификационные данные не должны сохраняться после авторизации даже когда PAN в системе не обрабатывается.
  • Добавится руководство по реализации требований стандарта в рамках подхода bussiness-as-usual
  • Будет обновлен документ «Ориентирование в стандарте PCI DSS» (Navigating PCI DSS Guide).
  • Добавится описание целей и задач для каждого нового требования.
  • Для каждого требования будут расширены проверочные процедуры и определен перечень необходимой сопроводительной документации (политики, порядков, процедур и т.д.)
  • Требование 1:

  • Добавится требование о необходимости наличия и поддержания в актуальном состоянии схемы информационных потоков.
  • Требование 2:
  • Вводится процедура инвентаризации системных компонентов, входящих в область действия стандарта.
  • Вносится уточнение о необходимости смены паролей, установленных по умолчанию для всех типов учетных записей: учетных записей приложений, сервисов и пользователей.
  • Требование 3:
  • Расширяются требования к безопасному хранению криптографических ключей, раздельному знанию и двойному контролю.
  • Требование 4:
  • Становится необходимым обеспечение защиты от вредоносного программного обеспечения на всех системах, как наиболее подверженных (системы с ОС Windows), так и менее подверженных (ОС семейства UNIX и иные системы) вредоносному воздействию.
  • Требование 5:
  • Вводятся требования о необходимости обновления и поддержания в актуальном состоянии списка наиболее распространенных уязвимостей, используемых в Компании при оценке рисков и разработке ПО. При этом в обязательном порядке должны анализироваться и учитываться сведения об уязвимостях из соответствующих перечней, публикуемых OWASP, NIST, SANS и CERT.
  • Требование 6:
  • Вводятся требования к механизмам аутентификации, таким как токены, смарт-карты и сертификаты.
  • Расширяются требования к длине и сложности паролей. Вводятся требования к парольным фразам.
  • Пересмотрены парольные политики: будут даны требования к выбору сильных паролей, защите аутентификационных данных и смене пароля при подозрении в компрометации.
  • Требование 7:
  • Вводятся требования к физической защите POS-терминалов и иных считывающих устройств.
  • Требование 8:
  • Расширяются требования по ежедневному анализу журналов событий. Новые требования позволят сосредоточиться на анализе событий критичных систем и минимизировать трудозатраты на анализ журналов менее значимых системных компонентов.
  • Требование 9:
  • Вводится методология проведения тестов на проникновение и требование по оценке эффективности применяемых методов и средств, используемых для сегментации сети, посредством тестов на проникновение.
  • Требование 10:
  • Вносится уточнение относительно того, какие требования Стандарта должны выполняться сервис-провайдерами (компаниями, взаимодействующими с организацией), а какие самой организацией.
  • В сентябре Итоговый перечень изменений будет распространен Советом среди более чем 700 организаций, а также будет обсуждаться на ежегодном собрании QSA-аудиторов. По результатам анализа полученых отзывов и финальных обсуждений, новые версии стандартов будут доработаны и выпущены ориентировочно 7 ноября 2013 г.

    Третьи версии PCI DSS и PA-DSS вступят в силу с 1 января 2014 г., а с 1 января 2015 г. станут обязательными к применению. До 1 июля 2015 г. часть новых требований будет носить рекомендательный характер. Это значит, что QSA-аудитор при проведении аудита не будет требовать подтверждений их выполнения.

    Текущую вторую версию Стандарта можно использовать до 31 декабря 2014 г. включительно. В 2015 г. всем организациям необходимо обеспечить выполнение требований PCI DSS v.3, так как с 1 января 2015 г. сертификационный аудит будет проводиться исключительно по третьей версии PCI DSS.

    соответствие | pci dss
    КомментарииКомментарии

    Добавьте комментарий!
    Представьтесь, пожалуйста
    Укажите адрес вашей почты
    Опубликован не будет
    Следить за дискуссией по почте
     









    Партнеры