Pull to refresh

Очередная внеочередная версия стандарта PCI DSS v3.2

Reading time 2 min
Views 5.3K
По традиции в апреле 2016 опубликована очередная внеочередная версия стандарта PCI DSS v3.2.
Новая версия вводит уточнения, которые вступают немедленно, а также расширяет требования по маскированию PAN. Теперь маскирование должно обеспечивать отображение минимально необходимого количества цифр номера карты. Для отображения дополнительных цифр (за исключением первых 6 и последних 4) необходимо обоснование. Ранее такое обоснование предоставляло право просмотра всего номера целиком.
Ряд расширенных требований стандарта распространяется на все организации и вступает в силу с 1 февраля 2018 года, в том числе:
  • после внесения изменений в системы или сети для них необходимо будет обеспечить выполнение требования PCI DSS и обновить соответствующую документацию;
  • при дистанционном (не консольном) входе администраторов необходимо будет применять многофакторную аутентификацию (2 или более).
    Поставщики услуг с 1 февраля 2018 года должны будут:
    • иметь актуальное описание своей криптографической архитектуры;
    • обеспечить своевременное обнаружение и информирование об отказе ключевых защитных мер, в том числе контроля физического доступа;
    • обеспечить своевременное реагирование на отказ ключевых защитных мер, в том числе их восстановление и принятие мер по предотвращению появления причин отказа;
    • проводить тестирование на проникновение мер по сегментации как минимум каждые полгода и в случае внесения изменений в используемые способы или методы сегментации;
    • назначить ответственного за защиту данных владельцев карт и обеспечение соответствия требованиям PCI DSS;
    • осуществлять ежеквартальную проверку соблюдения политики безопасности и операционных процедур;
    • cохранять документальные свидетельства таких проверок.

    Кроме того, в новую версию стандарта вошли дополнительные требования, направленные на интеграцию деятельности по защите данных владельцев платежных карт в операционную деятельность организаций (BAU – business-as-usual). Эти требования предъявляются к отдельным организациям по решению платежных систем.
    С обзором изменений можно ознакомиться на сайте PCI Security Standards Council.
Tags:
Hubs:
+6
Comments 0
Comments Leave a comment

Articles