PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Новое в стандартах PCI DSS 2.0 и PA-DSS 2.0

В опубликованных Советом документах приведен перечень изменений, которые разделены на три следующие категории:

– Уточнение – уточняет значение требования и обеспечивает соответствие формулировки, примененной в стандарте, желаемой цели требования;

– Дополнительное разъяснение – предоставляет дополнительную информацию, разъясняющую цель требования;

– Развитие требования – актуализирует требование для того, чтобы стандарты учитывали новые угрозы и изменения, произошедшие на рынке.

Перечень изменений представлен в таблице:

Требование,
на которое
распространяется
изменение

Цель изменения

Планируемое
изменение

Категория

PCI DSS Введение Уточнить применимость стандарта PCI DSS и понятие данных о держателях карт. Уточняет, что Требования PCI DSS 3.3 и 3.4 применимы только к PAN. Уточнение
PCI DSS Область применения Гарантировать, что все хранилища ДДК включены в область аудита на соответствие PCI DSS. Поясняет, что все хранилища и потоки ДДК должны быть идентифицированы и документированы, чтобы гарантировать точное определение границ среды ДДК. Дополнительное разъяснение
PCI DSS Введение и различные требования Предоставить разъяснения по виртуализации. Расширяет определение компонентов информационной инфраструктуры, чтобы включить виртуальные компоненты. Обновляет требование 2.2.1, чтобы уточнить связь требования «один сервер - одна основная функция» с использованием виртуализации. Дополнительное разъяснение
PCI DSS Требование 1 Разъяснение DMZ. Предоставляет разъяснение по защите границ между Интернет и средой ДДК. Уточнение
PCI DSS Требование 3.2 Уточнить применимость PCI DSS к банкам-эмитентам и поставщикам услуг в области эмиссии. Устанавливает, что у банков-эмитентов есть оправданная с точки зрения бизнеса потребность в хранении критичных аутентификационных данных. Уточнение
PCI DSS Требование 3.6 Разъяснить процессы управления ключами шифрования. Разъясняет процессы изменения ключей, отзыва ключей и применения раздельного знания и двойного контроля, и делает их более гибкими. Уточнение
PCI DSS Требование 6.2 Применить подход, основанный на анализе рисков, к управлению уязвимостями. Обновляет требования, чтобы разрешить определение приоритетов уязвимостей на основе анализа рисков. Развитие требования
PCI DSS Требование 6.5 Объединить требования, чтобы устранить их избыточность, а также добавить дополнительные примеры стандартов безопасного программирования, чтобы учесть не только OWASP. Включает требование 6.3.1 в требование 6.5 чтобы устранить избыточность требований по безопасному программированию приложений внутреннего использования и веб-ориентированных приложений. Включает примеры дополнительных стандартов безопасного программирования, такие как CWE и CERT. Уточнение
PCI DSS Требование 12.3.10 Уточнить понятия удаленного копирования, перемещения и хранения ДДК. Обновляет требование, чтобы разрешить обоснование потребностями бизнеса копирования, перемещения и хранения ДДК при удаленном доступе. Уточнение
PA-DSS Платежные приложения на терминальных устройствах. Предоставляет дополнительное разъяснение о применимости PA-DSS к терминальным устройствам. Дополнительное разъяснение
PA-DSS Требование 4.4 Платежные приложения должны поддерживать централизованное протоколирование событий. Добавляет требование к платежным приложениям о поддержке централизованного протоколирования событий в соответствии с требованием PCI DSS 10.5.3. Развитие требования
PA-DSS Требования 10 и 11 Объединить требования PA-DSS 10 и 11. Объединяет требования PA-DSS 10 и 11 (требования об удаленном обновлении и доступе), чтобы устранить избыточность. Уточнение

Стандарты PCI DSS и PA-DSS версии 2.0 будут представлены Советом PCI SSC в октябре 2010 года.

стандарт | pci ssc
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры