Журнал "Information Security/ Информационная безопасность" #5, 2022

Важным изменением является добав- ление индивидуального подхода к выпол- нению требований стандарта. В настоя- щий момент все требования должны выполняться напрямую, по заранее опре- деленному подходу, единому для всех компаний. Индивидуальный подход поз- воляет расширить возможности по выполнению требований, предлагая более гибкие варианты. Каждое требо- вание теперь содержит описание цели, которую необходимо достигнуть, при этом компания вправе самостоятельно выбирать средства и методы достижения этой цели. Аудитор при этом самостоя- тельно выберет способ проверки и убе- дится, что цель требования достигнута. Сложность индивидуального подхода заключается в необходимости выполне- ния таргетированного анализа рисков для каждого такого требования. Индивидуальный подход не применим для выполнения самооценки (SAQ), а также к требованиям, предписывающим защиту хранимых карточных данных, и некоторым другим. Применение индивидуального подхода не упрощает прохождение аудита и под- держание соответствия, однако помогает компаниям, обладающим высоким уров- нем зрелости, гибче подойти к выполне- нию требований стандарта. Большая часть новых требований всту- пит в силу 31 марта 2025 г. Упомянем некоторые из них. 1. Пароли, используемые приложе- ниями для доступа к базам данных и иным компонентам, станет нельзя хра- нить в программном коде и в конфигу- рационных файлах в открытом виде. 2. Использование Web Application Firewall (WAF) для защиты публично доступных веб-приложений станет обязательным. 3. Для анализа событий информа- ционной безопасности должна быть внедрена SIEM. 4. Хешировать PAN допустимо только с применением hash-функций с секретом, при этом процедуры управления секре- тами должны соответствовать требова- ниями PCI DSS об управлении крипто- графическими ключами. 5. Мультифакторная аутентификация должна быть внедрена для всех доступов к среде обработки данных платежных карт, как неконсольных, так и для кон- сольных. 6. Должны быть внедрены системы контроля изменений на платежной стра- нице, где вводятся данные платежных карт, и в HTTP-заголовках. 7. Внутренний сканер уязвимостей должен иметь возможность авторизо- ваться в сканируемой системе. Согласно плану перехода пройти QSA- аудит по новой версии PCI DSS 4.0 можно уже сейчас. С III квартала 2022 г. можно проходить аудит как по версии 3.2.1, так и по версии 4.0. Однако с 31 марта 2024 г. PCI DSS 3.2.1 утратит силу. l 12 • ПРАВО И НОРМАТИВЫ PCI DSS 4.0. Новые требования индустрии платежных карт Рис. 1. Основные изменения в PCI DSS 4.0 Рис. 2. Подходы к выполнению требований PCI DSS 4.0 Рис. 3. Порядок перехода на PCI DSS 4.0 Ваше мнение и вопросы присылайте по адресу is@groteck.ru Юлия Данилова, ведущий инженер по защите информации компании Deiteriy есмотря на геополитические изменения, соответствие PCI DSS является обязательным требованием платежной системы “Мир”. Летом 2022 г. была опубликована новая версия стандарта PCI DSS 4.0. В новой версии стандарта произошли изменения как в самих требованиях, так и в подходах к их выполнению. Н

RkJQdWJsaXNoZXIy Mzk4NzYw