02.02.2024
Час швидко плине, і у сфері сертифікації за стандартом PCI DSS відбудуться зміни, про які варто знати.Усім нам відомо, що з 2018 року актуальною версією стандарту PCI DSS є v3.2.1, яка буде відкликана з 31 березня 2024 року. Відбудеться перехід на нову версію стандарту PCI DSS v4.0. Це необхідна умова для організацій, що працюють у сфері безпеки платіжних даних. Щоб допомогти у цьому переході, ми підготували декілька важливих рекомендацій. Візьміть їх до уваги, щоб ваш перехід на нову версію стандарту PCI DSS v4.0 був легким, і тоді ми можемо запевнити, що у вас не виникне додаткових проблем.
1. Найважливіше, що ви можете почати робити - це починати перехід вашої організації на PCI DSS v4.0 прямо зараз. Це головна рекомендація, яку ми для вас підготували! Дата відкликання PCI DSS v3.2.1 наближається швидко, і потрібно підготуватися заздалегідь. Чим швидше ви зрозумієте, що означає PCI DSS v4.0 для вашої організації, тим раніше зможете розпочати планування і визначення пріоритетів для забезпечення плавного і ефективного переходу.
2. Починаючи впроваджувати зміни для відповідності PCI DSS v4.0, важливо продовжувати дотримуватись усіх необхідних заходів забезпечення безпеки, які прописані в старій версії стандарту PCI DSS v3.2.1. Продовжуйте підтримувати всі ваші існуючі контролі безпеки PCI DSS, навіть якщо ваша увага вже спрямована на впровадження нових вимог для версії 4.0.Якщо ваша організація буде вперше проходити сертифікацію PCI DSS, розглядайте та беріть до уваги всі вимоги вже оновленої версії PCI DSS v4.0. 
Щодо розуміння змін у PCI DSS v4.0, найкращим місцем для початку є читання «Зведеного опису змін між PCI DSS v3.2.1 та PCI DSS v4.0». Цей документ розташований у бібліотеці документів PCI SSC і надає цінний огляд та опис змін між PCI DSS v3.2.1 і v4.0. Він також містить таблицю «Зведення нових вимог», де перелічені всі нові вимоги, а також їх застосовність і дати набрання чинності.Окрім «Зведеного опису змін», в самому Стандарті є багато нових і розширених рекомендацій. Ця додаткова інформація допомагає краще розуміти вимоги і пояснює нові концепції, введені в PCI DSS v4.0, такі як «Аналіз цільового ризику» та «Контролі безпеки мережі».Організації, які використовують Анкети для самооцінки (SAQ), також повинні прочитати Стандарт, оскільки детальні рекомендації, що надаються для кожної вимоги, не включені до документів SAQ. Також були оновлення безпосередньо в SAQ, і важливо, щоб суб'єкти самооцінки прочитали cвою оновлену Анкету для самооцінки, щоб зрозуміти повний обсяг змін.
3. Після того, як ви зрозумієте всі вимоги версії PCI DSS v4.0, проаналізуйте, які зміни очікують вашу організацію. Як вплине перехід на нову версію 4.0 на бізнес-процеси та на ІТ-інфраструктуру в цілому? Можливо, ви вже відповідаєте деяким вимогам версії 4.0 і зможете визначити пріоритети для переходу там, де вони найбільше необхідні. Таке фокусування допоможе зекономити час і кошти.Детальне вивчення змін - дуже корисна справа. Радимо зробити це найближчим часом, і тоді ваша організація буде краще підготовлена до успішного й ефективного переходу на PCI DSS v4.0.
4. При переході до PCI DSS v4.0 розгляньте, який підхід до підтвердження є найкращим для вашої організації. Існують два варіанти: визначений підхід та індивідуальний підхід. Визначений підхід слідує традиційному методу впровадження та підтвердження вимог PCI DSS, використовуючи вимоги та процедури тестування, визначені в стандарті. Індивідуальний підхід надає можливість організаціям створювати власні системи безпеки, які можна використовувати для врахування індивідуальних вимог. Якщо ви розглядаєте індивідуальний підхід, переконайтеся, що ви добре розумієте, що потрібно, і перевірте, чи ваша реалізація відповідає вимогам додаткового аналізу ризиків та документування, перш ніж спробувати підтвердити індивідуальний підхід.Якщо ви використовуєте компенсуючі контролі для виконання вимог PCI DSS v3.2.1, перегляньте оновлені вимоги та варіанти підтвердження в v4.0, щоб визначити найкращий підхід.У кінцевому підсумку вибір правильного підходу до підтвердження буде залежати від стратегії безпеки вашої організації та підходу до управління ризиками. Ретельно розгляньте обидва варіанти, щоб забезпечити вибір належного підходу для вашої організації.
5. Під час переходу на нову версію стандарту PCI DSS v4.0 повідомте керівників усіх департаментів, які причетні до процесу проходження сертифікації. Переконайтеся, що кожен знає свою роль і знає, що йому робити і чого очікувати. Чітко визначте відповідальності для всього процесу сертифікації.Ефективне управління проєктом є ключовим для успішного переходу. Це включає в себе дотримання плану дій та відстежування результатів.Важлива порада - документуйте все. Установіть політики та процедури для підтримки постійної та систематичної реалізації контролів безпеки. У PCI DSS v4.0 також є деякі нові вимоги до документації - майте на увазі цей факт та враховуйте його у своїй роботі.
6. Під час впровадження всіх необхідних заходів для переходу на стандарт PCI DSS v4.0 важливо звернутися до професіональних аудиторів, які допоможуть швидко пройти сертифікацію на відповідність. Співпрацюйте з надійною командою компанії IT Specialist, яка має багаторічний досвід та бездоганну репутацію.Використовуйте технології та рішення, які були протестовані та перевірені на відповідність стандартам безпеки для захисту платіжних даних. PCI SSC публікує переліки продуктів і рішень, валідованих за стандартами PCI SSC, включаючи рішення Point-to-Point Encryption (P2PE), валідоване платіжне ПЗ та схвалені ПТЗ-пристрої (PTS Devices).
7. Найкращий спосіб підготуватися до оцінки PCI DSS – це провести самооцінку. Підготовка до оцінки повинна розпочинатися якомога швидше. Чим більше часу вкладено в підготовку, тим ефективніше й успішніше буде проведена оцінка.Регулярне проведення самооцінок допоможе виявити області, над якими потрібно працювати. Стане зрозуміло, як розставити пріоритети з усунення всіх недоліків.Регулярне тестування на проникнення також допоможе перевірити, як працюють контролі безпеки на всіх системах і областях, що потребують оцінки.
8. PCI DSS v4.0 розроблено з метою підтримки довгострокових, неперервних процесів забезпечення безпеки платіжних даних. Додаткова гнучкість, вперше представлена у PCI DSS v4.0, дозволяє організаціям обирати контролі безпеки, які найкраще відповідають їхнім бізнес- та безпековим потребам. Організації, які зосереджені на підтримці контролів безпеки PCI DSS протягом усього року, можуть легше уникнути повторюваних ситуацій, коли за короткими періодами відповідності знову слідують порушення безпеки та авральні заходи виправлення кожного разу після оцінки.Зосереджуючись на безпеці, як на неперервному процесі, організації отримають більшу впевненість під час проходження сертифікації на відповідність PCI DSS v4.0 і зменшать ризик виникнення проблем із кібербезпекою.
9. Представники організацій, які вже проходили сертифікацію, знають, що досить важко підтримувати стан відповідності стандарту PCI DSS протягом тривалого часу. ІТ-інфраструктура дуже схожа на живий організм, який постійно змінюється. За змінами потрібно спостерігати в реальному часі. Саме для цього існують різні програмні інструменти, які дозволяють відслідковувати зміни в середовищі платіжних карток та бути впевненим у тому, що всі елементи ІТ-інфраструктури відповідають вимогам стандарту. Звертаємо вашу увагу на програмне рішення нашої розробки - ITS Inventory, яке легко інтегрується в будь-яку ІТ-інфраструктуру без встановлення додаткових агентів. У результаті керівники ІТ та ІБ отримують у єдиному зручному інтерфейсі стан поточного стану відповідності та виявлення відхилень із можливістю виправлення. Важливо зауважити, що спостереження відбувається у реальному часі. В ITS Inventory існує функціональність для завантаження бібліотеки зовнішніх стандартів. При цьому автоматично проводиться перевірка елементів інфраструктури на відповідність вимогам аудиторів, виявляючи як відповідні, так і невідповідні компоненти. У графічному інтерфейсі ITS Inventory надається зведений звіт про ступінь відповідності, що дозволяє швидко виявити проблеми і їх виправити. Бібліотека зовнішніх стандартів ITS Inventory включає в себе всі найпопулярніші вимоги та стандарти PCI DSS v.4.0, ISO 27001, НБУ 95, NIST СSF. Додатково компанії можуть додавати власні стандарти та вимоги до цієї бібліотеки.Автоматизуйте моніторинг відповідності, використовуючи програмне рішення ITS Inventory. Використовуйте ITS Inventory під час підготовки до сертифікації, а також для підтримки відповідності стандарту протягом року. Заощаджуйте свій час та ресурси. Це найвагоміша рекомендація, яку ми можемо вам надати!
Ми надали вам ключові поради, які допоможуть швидко та легко перейти на нову версію стандарту PCI DSS v4.0. Упевнені, що у вас виникли додаткові питання щодо проходження сертифікації. Запрошуємо на консультацію з професіональними аудиторами компанії «ІТ Specialist».