02.02.2024
Время быстро идет, и в сфере сертификации по стандарту PCI DSS произойдут изменения, о которых следует знать. Всем нам известно, что с 2018 года актуальной версией стандарта PCI DSS является v3.2.1, которая будет отозвана с 31 марта 2024 года. Состоится переход на новую версию стандарта PCI DSS v4.0. Это необходимое условие для организаций, работающих в сфере безопасности платежных данных. Чтобы помочь этому переходу, мы подготовили несколько важных рекомендаций. Примите их во внимание, чтобы ваш переход на новую версию стандарта PCI DSS v4.0 был легким, и тогда мы можем заверить, что у вас не возникнет дополнительных проблем.
1. Самое важное, что вы можете начать делать – это начинать переход вашей организации на PCI DSS v4.0 прямо сейчас. Это главная рекомендация, которую мы вам подготовили! Дата отзыва PCI DSS v3.2.1 приближается быстро, и нужно подготовиться заранее. Чем быстрее вы поймете, что означает PCI DSS v4.0 для вашей организации, тем раньше сможете начать планирование и определение приоритетов для обеспечения плавного и эффективного перехода.
2. Начиная внедрять изменения для соответствия PCI DSS v4.0, важно продолжать соблюдать все необходимые меры обеспечения безопасности, прописанные в старой версии стандарта PCI DSS v3.2.1. Продолжайте поддерживать все существующие контроли безопасности PCI DSS, даже если ваше внимание уже направлено на внедрение новых требований для версии 4.0.Если ваша организация впервые пройдет сертификацию PCI DSS, рассматривайте и принимайте во внимание все требования уже обновленной версии PCI DSS v4.0.Что касается понимания изменений в PCI DSS v4.0, лучшим местом для начала является чтение «Сводного описания изменений между PCI DSS v3.2.1 и PCI DSS v4.0». Этот документ расположен в библиотеке документов PCI SSC и предоставляет ценный обзор и описание изменений между PCI DSS v3.2.1 и v4.0. Он также содержит таблицу «Свод новых требований», где перечислены все новые требования, а также их применимость и даты вступления в силу.Кроме «Сводного описания изменений», в самом Стандарте есть много новых и расширенных рекомендаций. Эта дополнительная информация помогает лучше понимать требования и объясняет новые концепции, введенные в PCI DSS v4.0, такие как «Анализ целевого риска» и «Контроли безопасности сети».Организации, использующие Анкеты для самооценки (SAQ), также должны прочитать Стандарт, поскольку подробные рекомендации по каждому требованию не включены в документы SAQ. Также были обновления непосредственно в SAQ, и важно, чтобы субъекты самооценки прочитали свою обновленную Анкету для самооценки, чтобы понять полный объем изменений.
3. После того, как вы поймете все требования версии PCI DSS v4.0, проанализируйте, какие изменения ожидают вашу организацию. Как повлияет переход на новую версию 4.0 на бизнес-процессы и ИТ-инфраструктуру в целом? Возможно, вы уже отвечаете некоторым требованиям версии 4.0 и сможете определить приоритеты для перехода там, где они наиболее необходимы. Такая фокусировка поможет сэкономить время и деньги.Детальное изучение изменений – очень полезное дело. Советуем сделать это в ближайшее время, и тогда ваша организация будет лучше подготовлена к успешному и эффективному переходу на PCI DSS v4.0.
4. При переходе к PCI DSS v4.0 рассмотрите, какой подход к подтверждению является наилучшим для вашей организации. Есть два варианта: определенный подход и индивидуальный подход.Определенный подход следует традиционному методу внедрения и подтверждения требований PCI DSS, используя требования и процедуры тестирования, указанные в стандарте.Индивидуальный подход позволяет организациям создавать собственные системы безопасности, которые можно использовать для учета индивидуальных требований. Если вы рассматриваете индивидуальный подход, убедитесь, что вы хорошо понимаете, что нужно, и проверьте, отвечает ли ваша реализация требованиям дополнительного анализа рисков и документирования, прежде чем попытаться подтвердить индивидуальный подход.Если вы используете компенсирующие контроли для выполнения требований PCI DSS v3.2.1, просмотрите обновленные требования и варианты подтверждения в v4.0, чтобы определить наилучший подход.В конечном счете выбор правильного подхода к подтверждению будет зависеть от безопасности вашей организации и подхода к управлению рисками. Тщательно рассмотрите оба варианта, чтобы обеспечить выбор подходящего подхода для вашей организации.
5. При переходе на новую версию стандарта PCI DSS v4.0 сообщите руководителям всех департаментов, имеющих отношение к процессу прохождения сертификации. Убедитесь, что каждый знает свою роль и знает, что ему делать и чего ждать. Четко определите ответственность за весь процесс сертификации.Эффективное управление проектом является ключевым для успешного перехода. Это включает в себя соблюдение плана действий и отслеживание результатов.Важный совет – документируйте все. Установите политики и процедуры для поддержания постоянной и систематической реализации контролей безопасности. У PCI DSS v4.0 также есть некоторые новые требования к документации – имейте в виду этот факт и учитывайте его в своей работе.
6. При внедрении всех необходимых мер по переходу на стандарт PCI DSS v4.0 важно обратиться к профессиональным аудиторам, которые помогут быстро пройти сертификацию на соответствие. Сотрудничайте с надежной командой компании IT Specialist, имеющей многолетний опыт и безупречную репутацию.Используйте технологии и решения, протестированные и проверенные на соответствие стандартам безопасности для защиты платежных данных. PCI SSC публикует перечни продуктов и решений, валидированных по стандартам PCI SSC, включая решения Point-to-Point Encryption (P2PE), валидированное платежное ПО и одобренные PTS-устройства (PTS Devices).
7. Лучший способ подготовиться к оценке PCI DSS – провести самооценку. Подготовка к оценке должна начинаться как можно скорее. Чем больше времени вложено в подготовку, тем эффективнее и успешнее будет произведена оценка.Регулярное проведение самооценок поможет выявить области, над которыми нужно работать. Станет понятно, как расставить приоритеты по устранению всех недостатков.Регулярное тестирование на проникновение также поможет проверить, как работают контроли безопасности на всех системах и областях, требующих оценки.
8. PCI DSS v4.0 разработан для поддержки долгосрочных, непрерывных процессов обеспечения безопасности платежных данных. Дополнительная гибкость, впервые представленная в PCI DSS v4.0, позволяет организациям выбирать контроли безопасности, которые лучше всего отвечают их бизнес- потребностям и потребностям безопасности. Организации, сосредоточенные на поддержке контролей безопасности PCI DSS в течение всего года, могут легче избежать повторяющихся ситуаций, когда за короткими периодами соответствия снова следует нарушение безопасности и авральные меры исправления каждый раз после оценки. Сосредотачиваясь на безопасности, как на непрерывном процессе, организации получат большую уверенность при прохождении сертификации на соответствие PCI DSS v4.0 и снизят риск возникновения проблем с кибербезопасностью.
9. Представители уже проходивших сертификацию организаций знают, что достаточно трудно поддерживать состояние соответствия стандарту PCI DSS в течение длительного времени. ИТ-инфраструктура очень похожа на постоянно меняющийся живой организм. За изменениями следует наблюдать в реальном времени. Именно для этого существуют различные программные инструменты, позволяющие отслеживать изменения в среде платежных карт и быть уверенными в том, что все элементы ИТ-инфраструктуры отвечают требованиям стандарта.
Обращаем ваше внимание на программное решение нашей разработки – ITS Inventory, которое легко интегрируется в любую ИТ-инфраструктуру без установки дополнительных агентов. В результате руководители ИТ и ИБ получают в единственном удобном интерфейсе состояние текущего состояния соответствия и обнаружение отклонений с возможностью исправления. Важно отметить, что наблюдение происходит в реальном времени.В ITS Inventory существует функциональность для загрузки библиотеки внешних стандартов. При этом автоматически производится проверка элементов инфраструктуры на соответствие требованиям аудиторов, выявляя как соответствующие, так и несоответствующие компоненты. В графическом интерфейсе ITS Inventory предоставляется сводный отчет о степени соответствия, позволяющий быстро выявить проблемы и их устранить. Библиотека внешних стандартов ITS Inventory включает в себя все популярнейшие требования и стандарты PCI DSS v.4.0, ISO 27001, НБУ 95, NIST СSF. Дополнительно компании могут добавлять свои стандарты и требования к этой библиотеке.
Автоматизируйте мониторинг соответствия, используя программное решение ITS Inventory.Используйте ITS Inventory при подготовке к сертификации, а также для поддержания соответствия стандарту в течение года. Экономьте свое время и ресурсы. Это самая весомая рекомендация, которую мы можем вам предоставить!
Мы предоставили вам ключевые советы, которые помогут быстро и легко перейти на новую версию PCI DSS v4.0.Уверены, что у вас возникли дополнительные вопросы по прохождению сертификации. Приглашаем на консультацию с профессиональными аудиторами компании «ИТ Специалист».