Полный комплекс услуг для сертификации по стандарту PCI DSS

Полный комплекс услуг для сертификации по стандарту PCI DSS

Внимание! Русскоязычная версия сайта предназначена для партнёров из Казахстана, Узбекистана, Грузии, Азербайджана, Киргизии. С компаниями из рф мы не сотрудничаем!

Illustration

Что нового ожидать от сертификации
PCI DSS в 2018 году?

В этой статье мы хотели бы рассмотреть, что нового ждёт всех нас, тех, кто так или иначе связан со стандартом PCI DSS. К чему стоит готовиться тем компаниям, которые уже получили сертификат? Не менее важно выяснить, чего ожидать тем компаниям, которые планируют впервые пройти сертификацию в течение 2018 года.

Напомним, что такое стандарт PCI DSS.

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт. Он разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами, такими как: Visa, MasterCard, American Express, JCB и Discover.

Стандарт PCI DSS - это набор требований по обеспечению безопасности данных о держателях платёжных карт, которые хранятся, передаются и обрабатываются в информационных инфраструктурах организаций. Стандарт содержит в себе всего 12 чётких, детализированных требований.

PCI DSS - это стандарт, который постоянно изменяется, в него добавляются новые требования, что фактически отображает динамичное развитие информационных технологий.

Чтобы учитывать все последние тенденции в сфере ИТ-технологий, в 2014 году международный консорциум PCI DSS описал процесс постоянного обновления стандарта в документе под названием «Жизненный цикл PCI DSS». Этот цикл рассчитан на трёхлетний период, в рамках которого происходит разработка и изменение стандарта.

Стандарт PCI DSS 3.0 был выпущен в ноябре 2013 года. Эта версия стандарта оказалась несовершенной и подвергалась многочисленными правкам и корректировкам. В апреле 2015 года, ещё до окончания обыкновенного жизненного цикла стандарта PCI DSS 3.0, была выпущена модификация PCI DSS 3.1.

Следующая версия стандарта PCI DSS 4.0 по плану должна была выйти в ноябре 2016 года. Но эта версия так до сих пор и не появилась. По мнению наших специалистов, скорее всего, в 2018 году версия PCI DSS 4.0 так и не появится. Причиной тому стали горячие споры среди экспертов, что вообще должен из себя представлять стандарт PCI DSS, для того чтобы соответствовать современным реалиям кибербезопасности и быть эффективным в противостоянии со всевозможными киберугрозами.

Вместо версии PCI DSS 4.0 в апреле 2016 года появилась версия стандарта PCI DSS 3.2. Эта версия актуальна в настоящий момент и продолжит действовать в течение всего 2018 года.

Важно сконцентрировать ваше внимание на том факте, что стандарт PCI DSS 3.2 заметно отличается от всех предыдущих. В нём появились новые требования, вступающие в силу только в 2018 году. Компании, которые проходили и аудит, и сертификацию по версии PCI DSS 3.2 в течение 2016-2017 годов, имели полное право игнорировать эти требования до наступления 2018 года.

Сейчас мы подробно рассмотрим новые требования стандарта PCI DSS 3.2, которые вступили в силу в 2018 году.

С 31 января 2018 года каждая компания, сертифицированная по стандарту, должна сделать, внедрить или предпринять следующее:
● Для всех системных администраторов должна быть внедрена двухфакторная аутентификация. Это значит, что системные администраторы не смогут подключаться к серверам на основании только имени и пароля. У каждого из них должны быть либо USB-ключ, либо смарт-карта, либо считыватель отпечатка пальца и т.д.● Тестирование на проникновение для систем, обрабатывающих карточные данные, должно выполняться каждые 6 месяцев. Таким образом, начиная с января, пентест нужно делать в два раза чаще.● Компания, проходящая сертификацию, должна определить и описать ответственность высшего руководства за выполнение требований стандарта PCI DSS. Теперь с начала 2018 года за соответствие требованиям стандарта PCI DSS отвечает директор компании, а не специалисты из отдела информационных технологий.● Ранее от компании требовалось только внедрить системы обеспечения информационной безопасности (кибербезопасности). А в 2018 году нужно будет обеспечить постоянное функционирование этих систем, их мониторинг, обнаружение сбоев и быстрое восстановление. ● Компания должна подробно описать то, какие алгоритмы, протоколы и процедуры она использует для криптографических операций, и строго следовать этим процедурам.● Дополнительные требования выдвигаются также к процессу управления изменениями в инфраструктуре. Компания обязана следить за тем, чтобы при добавлении новой подсистемы она уже соответствовала всем требованиям стандарта PCI DSS 3.2.● Компания должна каждые полгода проводить внутренний аудит выполняемых процессов в соответствии с требованиями стандарта PCI DSS 3.2.● Начиная с 30 июня 2018 года, все компании должны окончательно перейти на использование нового стандарта шифрования TLS 1.2.

Несмотря на то, что существенных изменений не предвидится, количество усилий по поддержанию и выполнению всех требований стандарта PCI DSS увеличится.

Чтобы сертификация по стандарту PCI DSS в 2018 году не принесла неприятных сюрпризов, мы советуем тщательно подходить к выбору аудитора и консультанта.

Напомним важную информацию, что с 1 марта 2018 года вступили в силу требования по безопасности карточных платежей международной ассоциации IATA. Поэтому компаниям, которые занимаются туризмом, авиаперевозками или продажами авиабилетов, важно ознакомиться с новыми требованиями стандарта PCI DSS 3.2 и поспешить с тем, чтобы пройти успешную сертификацию.

Компания IT Specialist предоставит полный спектр услуг по обеспечению информационной безопасности и проведёт сертификацию по стандарту PCI DSS для вашего бизнеса. Благодаря нашему сотрудничеству, вашей компании не будут угрожать хакерские атаки. Ваш бизнес будет процветать и сможет выйти на новый уровень развития!

Остались вопросы?

Заполни форму обратной связи, и наши специалисты предоставят консультацию в ближайшее время.

Спасибо!

Мы свяжемся с вами в скором времени!

Can't send form.

Please try again later.