Очередная внеочередная версия стандарта PCI DSS v3.2

    По традиции в апреле 2016 опубликована очередная внеочередная версия стандарта PCI DSS v3.2.
    Новая версия вводит уточнения, которые вступают немедленно, а также расширяет требования по маскированию PAN. Теперь маскирование должно обеспечивать отображение минимально необходимого количества цифр номера карты. Для отображения дополнительных цифр (за исключением первых 6 и последних 4) необходимо обоснование. Ранее такое обоснование предоставляло право просмотра всего номера целиком.
    Ряд расширенных требований стандарта распространяется на все организации и вступает в силу с 1 февраля 2018 года, в том числе:
    • после внесения изменений в системы или сети для них необходимо будет обеспечить выполнение требования PCI DSS и обновить соответствующую документацию;
    • при дистанционном (не консольном) входе администраторов необходимо будет применять многофакторную аутентификацию (2 или более).
      Поставщики услуг с 1 февраля 2018 года должны будут:
      • иметь актуальное описание своей криптографической архитектуры;
      • обеспечить своевременное обнаружение и информирование об отказе ключевых защитных мер, в том числе контроля физического доступа;
      • обеспечить своевременное реагирование на отказ ключевых защитных мер, в том числе их восстановление и принятие мер по предотвращению появления причин отказа;
      • проводить тестирование на проникновение мер по сегментации как минимум каждые полгода и в случае внесения изменений в используемые способы или методы сегментации;
      • назначить ответственного за защиту данных владельцев карт и обеспечение соответствия требованиям PCI DSS;
      • осуществлять ежеквартальную проверку соблюдения политики безопасности и операционных процедур;
      • cохранять документальные свидетельства таких проверок.

      Кроме того, в новую версию стандарта вошли дополнительные требования, направленные на интеграцию деятельности по защите данных владельцев платежных карт в операционную деятельность организаций (BAU – business-as-usual). Эти требования предъявляются к отдельным организациям по решению платежных систем.
      С обзором изменений можно ознакомиться на сайте PCI Security Standards Council.
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 0

    Only users with full accounts can post comments. Log in, please.