03.03.2018
В этой статье мы хотели бы рассмотреть, что нового ждёт всех нас, тех, кто так или иначе связан со стандартом PCI DSS. К чему стоит готовиться тем компаниям, которые уже получили сертификат? Не менее важно выяснить, чего ожидать тем компаниям, которые планируют впервые пройти сертификацию в течение 2018 года.
Напомним, что такое стандарт PCI DSS.
Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт. Он разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами, такими как: Visa, MasterCard, American Express, JCB и Discover. 
Стандарт PCI DSS - это набор требований по обеспечению безопасности данных о держателях платёжных карт, которые хранятся, передаются и обрабатываются в информационных инфраструктурах организаций. Стандарт содержит в себе всего 12 чётких, детализированных требований. 
 PCI DSS - это стандарт, который постоянно изменяется, в него добавляются новые требования, что фактически отображает динамичное развитие информационных технологий.
Чтобы учитывать все последние тенденции в сфере ИТ-технологий, в 2014 году международный консорциум PCI DSS описал процесс постоянного обновления стандарта в документе под названием «Жизненный цикл PCI DSS». Этот цикл рассчитан на трёхлетний период, в рамках которого происходит разработка и изменение стандарта.  
Стандарт PCI DSS 3.0 был выпущен в ноябре 2013 года. Эта версия стандарта оказалась несовершенной и подвергалась многочисленными правкам и корректировкам. В апреле 2015 года, ещё до окончания обыкновенного жизненного цикла стандарта PCI DSS 3.0, была выпущена модификация PCI DSS 3.1.
Следующая версия стандарта PCI DSS 4.0 по плану должна была выйти в ноябре 2016 года. Но эта версия так до сих пор и не появилась. По мнению наших специалистов, скорее всего, в 2018 году версия PCI DSS 4.0 так и не появится. Причиной тому стали горячие споры среди экспертов, что вообще должен из себя представлять стандарт PCI DSS, для того чтобы соответствовать современным реалиям кибербезопасности и быть эффективным в противостоянии со всевозможными киберугрозами.
Вместо версии PCI DSS 4.0 в апреле 2016 года появилась версия стандарта PCI DSS 3.2. Эта версия актуальна в настоящий момент и продолжит действовать в течение всего 2018 года.
Важно сконцентрировать ваше внимание на том факте, что стандарт PCI DSS 3.2 заметно отличается от всех предыдущих. В нём появились новые требования, вступающие в силу только в 2018 году. Компании, которые проходили и аудит, и сертификацию по версии PCI DSS 3.2 в течение 2016-2017 годов, имели полное право игнорировать эти требования до наступления 2018 года.  
Сейчас мы подробно рассмотрим новые требования стандарта PCI DSS 3.2, которые вступили в силу в 2018 году.
С 31 января 2018 года каждая компания, сертифицированная по стандарту, должна сделать, внедрить или предпринять следующее:● Для всех системных администраторов должна быть внедрена двухфакторная аутентификация. Это значит, что системные администраторы не смогут подключаться к серверам на основании только имени и пароля. У каждого из них должны быть либо USB-ключ, либо смарт-карта, либо считыватель отпечатка пальца и т.д.● Тестирование на проникновение для систем, обрабатывающих карточные данные, должно выполняться каждые 6 месяцев. Таким образом, начиная с января, пентест нужно делать в два раза чаще.● Компания, проходящая сертификацию, должна определить и описать ответственность высшего руководства за выполнение требований стандарта PCI DSS. Теперь с начала 2018 года за соответствие требованиям стандарта PCI DSS отвечает директор компании, а не специалисты из отдела информационных технологий.● Ранее от компании требовалось только внедрить системы обеспечения информационной безопасности (кибербезопасности). А в 2018 году нужно будет обеспечить постоянное функционирование этих систем, их мониторинг, обнаружение сбоев и быстрое восстановление. ● Компания должна подробно описать то, какие алгоритмы, протоколы и процедуры она использует для криптографических операций, и строго следовать этим процедурам.● Дополнительные требования выдвигаются также к процессу управления изменениями в инфраструктуре. Компания обязана следить за тем, чтобы при добавлении новой подсистемы она уже соответствовала всем требованиям стандарта PCI DSS 3.2.● Компания должна каждые полгода проводить внутренний аудит выполняемых процессов в соответствии с требованиями стандарта PCI DSS 3.2.● Начиная с 30 июня 2018 года, все компании должны окончательно перейти на использование нового стандарта шифрования TLS 1.2.
Несмотря на то, что существенных изменений не предвидится, количество усилий по поддержанию и выполнению всех требований стандарта PCI DSS увеличится.
Чтобы сертификация по стандарту PCI DSS в 2018 году не принесла неприятных сюрпризов, мы советуем тщательно подходить к выбору аудитора и консультанта.
Напомним важную информацию, что с 1 марта 2018 года вступили в силу требования по безопасности карточных платежей международной ассоциации IATA. Поэтому компаниям, которые занимаются туризмом, авиаперевозками или продажами авиабилетов, важно ознакомиться с новыми требованиями стандарта PCI DSS 3.2 и поспешить с тем, чтобы пройти успешную сертификацию.
Компания IT Specialist предоставит полный спектр услуг по обеспечению информационной безопасности и проведёт сертификацию по стандарту PCI DSS для вашего бизнеса. Благодаря нашему сотрудничеству, вашей компании не будут угрожать хакерские атаки. Ваш бизнес будет процветать и сможет выйти на новый уровень развития!