По традиции в апреле 2016 опубликована очередная внеочередная версия стандарта PCI DSS v3.2.
Новая версия вводит уточнения, которые вступают немедленно, а также расширяет требования по маскированию PAN. Теперь маскирование должно обеспечивать отображение минимально необходимого количества цифр номера карты. Для отображения дополнительных цифр (за исключением первых 6 и последних 4) необходимо обоснование. Ранее такое обоснование предоставляло право просмотра всего номера целиком.
Ряд расширенных требований стандарта распространяется на все организации и вступает в силу с 1 февраля 2018 года, в том числе:
Новая версия вводит уточнения, которые вступают немедленно, а также расширяет требования по маскированию PAN. Теперь маскирование должно обеспечивать отображение минимально необходимого количества цифр номера карты. Для отображения дополнительных цифр (за исключением первых 6 и последних 4) необходимо обоснование. Ранее такое обоснование предоставляло право просмотра всего номера целиком.
Ряд расширенных требований стандарта распространяется на все организации и вступает в силу с 1 февраля 2018 года, в том числе:
- после внесения изменений в системы или сети для них необходимо будет обеспечить выполнение требования PCI DSS и обновить соответствующую документацию;
- при дистанционном (не консольном) входе администраторов необходимо будет применять многофакторную аутентификацию (2 или более).
Поставщики услуг с 1 февраля 2018 года должны будут:
- иметь актуальное описание своей криптографической архитектуры;
- обеспечить своевременное обнаружение и информирование об отказе ключевых защитных мер, в том числе контроля физического доступа;
- обеспечить своевременное реагирование на отказ ключевых защитных мер, в том числе их восстановление и принятие мер по предотвращению появления причин отказа;
- проводить тестирование на проникновение мер по сегментации как минимум каждые полгода и в случае внесения изменений в используемые способы или методы сегментации;
- назначить ответственного за защиту данных владельцев карт и обеспечение соответствия требованиям PCI DSS;
- осуществлять ежеквартальную проверку соблюдения политики безопасности и операционных процедур;
- cохранять документальные свидетельства таких проверок.
Кроме того, в новую версию стандарта вошли дополнительные требования, направленные на интеграцию деятельности по защите данных владельцев платежных карт в операционную деятельность организаций (BAU – business-as-usual). Эти требования предъявляются к отдельным организациям по решению платежных систем.
С обзором изменений можно ознакомиться на сайте PCI Security Standards Council.