24.02.2025
PCI DSS (Payment Card Industry Data Security Standard) — это международный стандарт безопасности данных для индустрии платежных карт, созданный с целью защиты конфиденциальной информации владельцев карт. После выпуска PCI DSS v4.0 в 2022 году стандарт прошел определенные обновления, и в 2024 году была представлена версия PCI DSS v4.0.1. В этой статье рассмотрим, что представляет собой эта версия, зачем она была внедрена и какие основные отличия от предыдущей версии 4.0.

Зачем нужно обновление до v4.0.1?

PCI DSS v4.0.1 — это не полностью новая редакция стандарта, а скорее уточнение и исправление предыдущей версии. Основными причинами выпуска обновления стали:
1. Исправление ошибок и неточностей, выявленных в v4.0 после его внедрения.  2. Уточнение формулировок требований, что позволяет снизить неоднозначность их интерпретации и обеспечить более точное внедрение мер безопасности.  3. Актуализация соответствия современным киберугрозам и технологическим вызовам.
Основные отличия PCI DSS v4.0.1 от PCI DSS v4.0 1. Редакционные изменения и исправления. Некоторые требования, определенные в PCI DSS v4.0, содержали нечеткие формулировки или технические неточности, которые потребовали корректировки.2. Обновление терминологии. PCI SSC (орган, отвечающий за стандарт) пересмотрел некоторые определения для обеспечения большей точности.3. Исправления в требованиях к аудиту. Некоторые аспекты аудита и сертификации были обновлены, чтобы облегчить организациям соответствие стандарту.4. Уточнения в требованиях к криптографической защите. Это включает дополнительные указания по шифрованию и ключам безопасности. Требование 3.5.1: уточнены вариации приведения PAN (полного номера платежной карты) к нечитаемому виду.5. Обновление требований, касающихся ранжирования уязвимостей по уровню риска, а также сроков их устранения. Требование 6.3.3: уточнено, что организация должна устанавливать критические обновления программного обеспечения в течение 1 месяца после их выпуска, тогда как в версии PCI DSS v4.0 требование распространялось также на важные обновления.6. Обновления в требованиях к многофакторной аутентификации (MFA). Требование 8.4.2: уточнено, что MFA должно применяться для всех администраторов и пользователей, имеющих неконсольный (без прямого физического подключения) доступ к критическим системам.Требование 8.4.3: конкретизированы требования к внедрению механизмов MFA для удаленного доступа.

Что это означает для организаций?  

Для компаний, которые уже начали внедрение PCI DSS v4.0, обновление до v4.0.1 не станет критическим вызовом. Однако им следует ознакомиться с исправлениями, чтобы:
● Убедиться, что все новые требования были правильно внедрены.
● Быть готовыми к тому, что после изменений в терминологии и требованиях к аудитам, аудиторы могут запрашивать информацию, которую ранее не запрашивали.
● Обновить политики и процедуры в соответствии с требованиями обновленной версии стандарта.

Выводы

PCI DSS v4.0.1 — это не революционное обновление, а скорее эволюционное улучшение PCI DSS v4.0. Оно исправляет неточности и совершенствует существующие требования, обеспечивая их более четкое и эффективное внедрение. Организациям, работающим с платежными картами, следует адаптировать свои процессы в соответствии с новыми требованиями, чтобы обеспечить соответствие стандарту и наивысший уровень защиты платежных данных.
А подробнее обо всех изменениях в стандарте PCI DSS v4.0.1 можно ознакомиться по ссылке.
IT Specialist — безопасная интеграция в будущее.