03.03.2018
У цій статті ми хотіли б розглянути, що нового чекає всіх нас, хто так чи інакше пов'язаний зі стандартом PCI DSS. До чого варто готуватися тим компаніям, які вже отримали сертифікат? Не менш важливо з'ясувати, чого очікувати тим компаніям, які планують вперше пройти сертифікацію протягом 2018 року.
Нагадаємо, що таке стандарт PCI DSS.
Payment Card Industry Data Security Standard (PCI DSS) – стандарт безпеки даних індустрії платіжних карток. Він розроблений Радою зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами, такими як Visa, MasterCard, American Express, JCB і Discover.
Стандарт PCI DSS - це набір вимог щодо забезпечення безпеки даних про власників платіжних карток, які зберігаються, передаються та обробляються в інформаційних інфраструктурах організацій. Стандарт містить у собі лише 12 точних, деталізованих вимог.
PCI DSS - це стандарт, який постійно змінюється, до нього додаються нові вимоги, що фактично відображає динамічний розвиток інформаційних технологій.
Щоб зважати на всі останні тенденції у сфері ІТ-технологій, у 2014 році міжнародний консорціум PCI DSS описав процес постійного оновлення стандарту в документі під назвою «Життєвий цикл PCI DSS». Цей цикл розрахований на трирічний період, у рамках якого відбувається розробка та зміна стандарту.
Стандарт PCI DSS 3.0 було випущено у листопаді 2013 року. Ця версія стандарту виявилася недосконалою і піддавалася численним виправленням та коригуванням. У квітні 2015 року, ще до закінчення звичайного життєвого циклу стандарту PCI DSS 3.0, було випущено модифікацію PCI DSS 3.1.
Наступна версія стандарту PCI DSS 4.0 за планом мала вийти в листопаді 2016 року. Але ця версія так і досі не з'явилася. На думку наших фахівців, найімовірніше, у 2018 році версія PCI DSS 4.0 так і не з'явиться. Причиною тому стали гарячі суперечки серед експертів, що взагалі повинен представляти собою стандарт PCI DSS, для того щоб відповідати сучасним реаліям кібербезпеки і бути ефективним у протистоянні з усілякими кіберзагрозами.
Замість версії PCI DSS 4.0 у квітні 2016 року з'явилася версія стандарту PCI DSS 3.2. Ця версія актуальна зараз, і продовжить діяти протягом усього 2018 року.
Важливо зосередити вашу увагу на тому факті, що стандарт PCI DSS 3.2 помітно відрізняється від усіх попередніх. У ньому з'явилися нові вимоги, які набирають чинності лише у 2018 році. Компанії, які проходили і аудит, і сертифікацію за версією PCI DSS 3.2 протягом 2016-2017 років мали повне право ігнорувати ці вимоги до 2018 року.
Зараз ми докладно розглянемо нові вимоги стандарту PCI DSS 3.2, які набули чинності 2018 року.
З 31 січня 2018 року кожна компанія, сертифікована за стандартом, має зробити, впровадити або зробити наступне:● Для всіх системних адміністраторів має бути впроваджена двофакторна автентифікація. Це означає, що системні адміністратори не зможуть підключатися до серверів на основі лише імені та пароля. У кожного з них повинні бути USB-ключ, або смарт-карта, або зчитувач відбитка пальця тощо.● Тестування на проникнення для систем, що обробляють карткові дані, має виконуватися кожні 6 місяців. Таким чином, починаючи з січня, пентест треба робити вдвічі частіше.● Компанія, яка проходить сертифікацію, повинна визначити та описати відповідальність вищого керівництва за виконання вимог стандарту PCI DSS. Тепер із початку 2018 року за відповідність вимогам стандарту PCI DSS відповідає директор компанії, а не спеціалісти з відділу інформаційних технологій.● Раніше від компанії потрібно було лише впровадити системи забезпечення інформаційної безпеки (кібербезпеки). А в 2018 році потрібно буде забезпечити постійне функціонування цих систем, їх моніторинг, виявлення збоїв та швидке відновлення.● Компанія повинна докладно описати те, які алгоритми, протоколи та процедури вона використовує для криптографічних операцій, та суворо дотримуватися цих процедур.● Додаткові вимоги також висуваються до процесу управління змінами в інфраструктурі. Компанія зобов'язана стежити за тим, щоб при додаванні нової підсистеми вона відповідала всім вимогам стандарту PCI DSS 3.2.● Компанія повинна кожні півроку проводити внутрішній аудит виконуваних процесів відповідно до вимог стандарту PCI DSS 3.2.● Починаючи з 30 червня 2018 року, усі компанії мають остаточно перейти на використання нового стандарту шифрування TLS 1.2.
Незважаючи на те, що суттєвих змін не передбачається, кількість зусиль щодо підтримки та виконання всіх вимог стандарту PCI DSS збільшиться.
Щоб сертифікація за стандартом PCI DSS у 2018 році не принесла неприємних сюрпризів, ми радимо ретельно підходити до вибору аудитора та консультанта.
Нагадаємо важливу інформацію, що з 1 березня 2018 року набули чинності вимоги щодо безпеки карткових платежів міжнародної асоціації IATA. Тому компаніям, які займаються туризмом, авіаперевезеннями або продажем авіаквитків, важливо ознайомитися з новими вимогами стандарту PCI DSS 3.2 та поспішити з тим, щоб пройти успішну сертифікацію.
Компанія IT Specialist надасть повний спектр послуг із забезпечення інформаційної безпеки та проведе сертифікацію за стандартом PCI DSS для вашого бізнесу. Завдяки нашій співпраці вашій компанії не загрожуватимуть хакерські атаки. Ваш бізнес процвітатиме і зможе вийти на новий рівень розвитку!