Меню розділу

Новини

[2015-02-24 07:24:50] Новий сертифікат для термінального обладнання марки SymLink моноблок AS-600
Новий сертифікат для термінального обладнання марки SymLink моноблок AS-600
Компанією отримано новий сертифікат від ПрАТ «Український процесінговий центр», що надає...
[2015-01-23 09:56:46] Отримано постійний сертифікат ПрАТ «Український процесінговий центр».
Отримано постійний сертифікат ПрАТ «Український процесінговий центр».
Компанією отримано постійний сертифікат, що підтверджує право проводити операції з використанням...
[2014-01-31 13:21:02] Термінали «SymLink» сертифіковано ПрАТ «Український процесінговий центр».
Термінали «SymLink» сертифіковано ПрАТ «Український процесінговий центр».
Успішно завершено сертифікаційне тестування на сумісність POS-термінальних рішень з процесинговою системою TPII,...
Всі новини
Головна Система «Ezio Demo» Новини та акції PCI DSS v.3: попередній огляд основних змін Стандарту

PCI DSS v.3: попередній огляд основних змін Стандарту

PCI DSS115 серпня Рада PCI SSC випустила документ, що містить загальний опис всіх майбутніх змін, які увійдуть в третю версії PCI DSS і PA-DSS.Основна ідея майбутнього оновлення - інтеграція вимог PCI DSS в існуючі бізнес- процеси без впливу на нормальне виконання стандартних функціональних операцій організації («business - as - usual»).

Третя версія Стандарту розробляється без прив'язки до конкретних систем і технологій, як і поточна версія PCI DSS. Опис вимог для конкретних технологій будуть випускатися спільнотами PCI Special Interest Groups (SIG).

Основними факторами, що вплинули на зміни в PCI DSS, стали:

  • слабкі паролі та аунтифікаційна політика;
  • забезпечення ІБ при взаємодії з третіми сторонами;
  • проблеми у виявленні шкідливого ПЗ;
  • відсутність навчання та недостатня обізнаність співробітників з питань ІБ.

На даний момент зміни, що входять до стандарту, знаходяться в процесі узгодження і остаточно не затверджені, однак, визначені основні напрями змін.

Загальні зміни PCI DSS:

  • Вноситься уточнення про те, що чутливі аутентифікаційні дані не повинні зберігатися після авторизації навіть коли PAN в системі не обробляється.
  • Додасться керівництво щодо реалізації вимог стандарту в рамках підходу bussiness - as — usual.
  • Буде оновлено документ «Орієнтування в стандарті PCI DSS» (Navigating PCI DSS Guide).
  • Додасться опис цілей і завдань для кожної нової вимоги.
  • Для кожної вимоги будуть розширені перевірочні процедури і визначено перелік необхідної супровідної документації (політики, порядків, процедур і т.д.).

Вимога 1:

  • Додасться вимога про необхідність наявності і підтримки в актуальному стані схеми інформаційних потоків.

Вимога 2:

  • Вводиться процедура інвентаризації системних компонентів, що входять в область дії стандарту.
  • Вноситься уточнення про необхідність зміни паролів, встановлених за замовчуванням для всіх типів облікових записів: облікових записів додатків, сервісів і користувачів.

Вимога 3:

  • Розширюються вимоги до безпечного зберігання криптографічних ключів, роздільного знанню і подвійному контролю.

Вимога 4:

  • Стає необхідним забезпечення захисту від шкідливого програмного забезпечення на всіх системах, як найбільш схильних (системи з ОС Windows), так і менш схильних (ОС сімейства UNIX та інші системи) шкідливому впливу.

Вимога 5:

  • Вводяться вимоги про необхідність оновлення і підтримки в актуальному стані списку найбільш поширених вразливостей, що використовуються в Компанії при оцінці ризиків та розробці ПЗ.

Вимога 6:

  • Вводяться вимоги до механізмів аутентифікації, таким як токени, смарт-карти і сертифікати.
  • Розширюються вимоги до довжини та складності паролів. Вводяться вимоги до парольним фразам.
  • Переглянуті парольні політики: будуть дані вимоги до вибору сильних паролів, захист аутентифікаційних даних і зміні пароля при підозрі у компрометації.

Вимога 7:

  • Вводяться вимоги до фізичного захисту POS-терміналів та інших зчитувальних пристроїв.

Вимога 8:

  • Розширюються вимоги по щоденному аналізу журналів подій. Нові вимоги дозволять зосередитися на аналізі подій критичних систем і мінімізувати трудові години на аналіз журналів менш значущих системних компонентів.

Вимога 9:

  • Вводиться методологія проведення тестів на проникнення і вимога щодо оцінки ефективності застосовуваних методів і засобів, використовуваних для сегментації мережі, за допомогою тестів на проникнення.

Вимога 10:

  • Вноситься уточнення щодо того, які вимоги Стандарту повинні виконуватися сервіс- провайдерами (компаніями, взаємодіючими з організацією), а які самою організацією.

Третя версії PCI DSS та PA- DSS набудуть чинності з 1 січня 2014 р., а з 1 січня 2015 стануть обов'язковими до застосування. До 1 липня 2015 частина нових вимог буде носити рекомендаційний характер. Це означає, що QSA-аудитор при проведенні аудиту не буде вимагати підтверджень їх виконання.

Поточну другу версію Стандарту можна використовувати до 31 грудня 2014 р. включно. У 2015 р. всім організаціям необхідно забезпечити виконання вимог PCI DSS v.3, так як з 1 січня 2015 сертифікаційний аудит проводитиметься виключно за третьою версією PCI DSS.