Апдейт PCI DSS 3.2: новые критерии и ужесточение требований (v2017)

Международный совет PCI SSC в прошлом году, а именно 28 апреля 2016 года на своем официальном сайте  опубликован пресс-релиз с сообщением о выходе новой версии стандарта безопасности данных индустрии платежных карт PCI DSS v3.2. Данная версия стандарта получилась внеплановая, и вызвано это было усложнением общей обстановки мире кибер-безопасности и громкими инцидентами ИБ в финансовом секторе произошедшими за предыдущее время.

Пока новые требования PCI DSS v3.2 остаются еще рекомендательными, однако с 1 февраля 2018 года все они станут обязательными для выполнения. В сегодняшней статье мы кратко пробежимся по самым очевидным и ключевым изменениям в новой редакции стандарта



Новая версия стандарта PCI DSS 3.2 уже доступна для подписчиков и финансовых организация являющихся глобальными членами сообщества. В целом нововведения затронули как общую терминологию, так и усилили некоторые разделы существующих требования  к обеспечению информационной безопасности. 

Версия стандарта PCI DSS 3.1, былы актуальна до конца 28 октября 2016 года. Соответственно до этой же даты можно было и проводить аудит организации на соответствие требованиям стандарта PCI DSS 3.1 или PCI DSS 3.2 в зависимости от предпочтений. В 2017 же году все организации должны переходить на стандарт версии PCI DSS 3.2

Общие изменения в  PCI DSS 3.2:

• для всех изменений в  ИТ-инфраструктуре  организации теперь необходимо дополнительно проверять, что все применимые требования стандарта PCI DSS по прежнему остаются выполнены;

• для удаленного  административного доступа требуется реализовать мультифакторную аутентификацию взамен двух-факторной;

• любое сертифицированное приложение, если  его поддержка производителем прекратилась (например, у ПО появился статус «End-of-life»), то это приложение уже не  обеспечивает необходимый уровень безопасности;

• при определении границ области применимости стандарта PCI DSS следует учитывать системы, обеспечивающие непрерывность работы компонентов информационной инфраструктуры: системы резервного копирования и восстановления, отказоустойчивые системы; 

• необходимо изменять все стандартные настройки и отключать стандартные учетные записи. Согласно пояснению, это требование касается и платежных приложений; 

• добавлено примечание в проверочную процедуру по поиску полного номера карты PAN:  логи необходимо анализировать и для платежных приложений; 

• добавлено примечание к требованию 3.4.1 по шифрованию дисков: это требование применимо в дополнение ко всем другим требованиям по шифрованию и управлению ключами в области применимости стандарта; 

• разработчики должны как минимум ежегодно обучаться методам безопасного программирования; 

• добавлено примечание к требованию по системе контроля доступа (видеонаблюдение либо СКУД, либо обе технологии одновременно); 

• необходимо обеспечить контроль удаленного доступа любой третьей стороны.

Исключительно к поставщикам услуг: 

• теперь в случае использования шифрования, всю архитектуру этой системы требуется документировать; 

• требуется контролировать работоспособность систем безопасности. В случае возникновения сбоев в работе таких систем следует выполнить процедуры реагирования; 

• тестирование на проникновение (пен-тест) в части сегментации сети необходимо проводить не реже одного раза в шесть месяцев; 

• в организации должен быть внедрен высокоуровневый документ, в котором будет описана программа соответствия требованиям стандарта PCI DSS и назначен ответственный работник; 

• не реже одного раза в квартал необходимо проверять, что работники организации корректно выполняют процедуры по ежедневному анализу журналов протоколирования событий, пересмотру правил межсетевого экранирования, применению стандартов конфигурации для новых систем, реагированию на сигналы систем безопасности, а также соблюдают процедуры управления изменениями.

По мимо этого результаты каждой проводимой проверки ИБ обязательно должны быть задокументированы. Станет обязательным и наличие у каждого поставщика услуг программы поддержания соответствия требованиям стандарта PCI DSS, а именно следующие мероприятия:

• порядок выполнения постоянного мониторинга соответствия;
• порядок выполнения регулярных процедур;
• порядок выполнения ежегодных проверок;
• порядок оценки влияния стандарта PCI DSS на бизнес-решения.