13.02.2023
PCI DSS (Payment Card Industry Data Security Standard в переводе с англ. «стандарт безопасности индустрии платежных карт») — стандарт из сферы кибербезопасности, направленный на максимальную защиту карточных данных при их хранении, обработке или передаче. Был разработан в декабре 2004 года при общем участии пяти транснациональных корпораций в сфере платежных карт: Visa, MasterCard, American Express, Discover Financial Services, JCB International.
Недавно была выпущена 4.0 версия стандарта PCI DSS, которая, в общем, улучшает уже несколько устаревшие требования версии 3.2.1 (разработанной в 2018 году, а формально - еще в 2016), но имеет и совсем новые требования - соответствующие современным реалиям киберугроз. Однако структура осталась неизменной: 12 разделов, содержащих конкретизированные требования (259 требований, если быть точными).
Но начать лучше с другого. А именно со сроков, когда именно 4.0 версия станет обязательной. Уже со второго квартала (1 апреля) 2024 версия 3.2.1 теряет свою силу. Соответственно, если организация проходит плановую ресертификацию до конца первого квартала 2024 года, то она еще может пройти ее по требованиям версии 3.2.1 стандарта.
Кроме того, как когда-то и с версией 3.2, версия 4.0 имеет «best practice» - требования, которые становятся обязательными только после 31.03.2025, а до того являются лишь рекомендацией. Почти все новые требования являются рекомендованными.

Итак, а что именно нового в том PCI DSS 4.0?
Для начала, к каждому из разделов добавили по требованию, что все роли, участвующие в обеспечении ее (требования) поддержки в организации, должны быть задокументированы и описаны.
Первые и вторые разделы особых изменений не претерпели.
В третью главу добавили семь новых требований (требование по ролям и обязанностям не учитывается). В общем:• были отдельно описаны требования по используемым хэшам (такие же, что были до шифрования),• документировать архитектуру шифрования необходимо теперь не только сервис-провайдерам,• вместо маскировки в формате 6*4 теперь разрешена маскировка в формате BIN*4.
Четвертый раздел получил только два новых требования. Необходимо ввести инвентаризацию всех доверенных ключей и сертификатов, которые используются для защиты полного номера карты при его передаче. А также добавили требования к сертификатам, используемым для защиты полного номера карты при его передаче через публичные сети.
У пятой главы пять новых требований — почти символично. Именно в пятой главе впервые появляется новое для стандарта PCI DSS понятие targeted risk analysis — целевой анализ риска.
Версия 4.0 предлагает организациям самостоятельно заполнять таблицу, шаблон которой приведен в новой версии стандарта, где анализируется тот или иной риск и делаются выводы по его (риска) принятию или компенсации, или избегания и т.д. И именно заполнение данной таблицы требует определять периодичность и частоту сканирования систем антивирусными средствами, а также периодичность проверок систем, которые считаются неподверженными вирусным угрозам. Пятый раздел определяет, что антивирус отныне должен сканировать и все съемные носители, а также должна быть организована защита организации от фишинга.
Шестая глава получила три новых требования. Необходимо создать и поддерживать реестр всего пользовательского ПО, а также всего ПО третьих сторон. Также для владельцев веб-страниц платежных систем необходимо вести список всех сценариев скрипта на данной странице с обоснованием необходимости каждого из них. И теперь WAF является обязательным для использования.
Седьмой раздел – снова три новых требования. Внедрили проверку всех аккаунтов на легитимность их существования и прав по меньшей мере раз в шесть месяцев, а также отдельно выделили требования к техническим и сервисным аккаунтам.
Восьмой раздел содержит пять новых требований. Они касаются в большей степени именно мультифакторной аутентификации. А также здесь были сформулированы требования к учетным записям, которые могут быть использованы для интерактивного входа.
Девятый раздел получил только одно новое требование. Необходимо теперь с периодичностью, определенной тем самым targeted risk analysis, проверять устройства POI на отсутствие подделки.
Десятый раздел может похвастаться тремя новыми требованиями. Они требуют обязательно использовать с 2025 года автоматизированные механизмы проверки логов.
Одиннадцатая глава имеет пять новых требований. Они несколько конкретизируют особенности и порядок действий при внутреннем сканировании на уязвимости (проводить которое имеют право только авторизованные пользователи), а также добавляют, что системы IDS/IPS должны выявлять и устранять скрытые каналы передачи вредоносных программ. А также появилось понятие multi-tenant service providers — любые дата-центры и облачные провайдеры подпадают под данное определение. И все они должны будут проходить дополнительную проверку по приложению A1.
Двенадцатая глава - последний и абсолютный чемпион по количеству новых требований (их тринадцать). И целых два требования из них обязательны для выполнения еще с 2024 года. Это необходимость проводить уже несколько раз упомянутый «targeted risk analysis», по меньшей мере раз в год, а также необходимость поддерживать документированное описание зоны соответствия стандарту в актуальности и проводить проверку по меньшей мере раз в год или при существенных изменениях данной среды. Все остальные новые требования также сосредоточены в основном на документировании того или иного аспекта поддержки организацией соответствия требованиям стандарта PCI DSS.
Подводя итоги, версия 4.0 стандарта PCI DSS сосредоточена на современных проблемах и методах, она шире своих предшественников в формулировках, но и более требовательна. Но год переходного периода, когда версия 4.0 уже будет обязательна, но почти все новые требования являются рекомендованными, позволит организациям подготовиться к ним и провести внедрение их выполнения в спокойном режиме.
Ссылка на текст стандарта PCI DSS v4.0:https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdfСсылка на описание изменений в стандарте PCI DSS v4.0 по сравнению с v3.2.1:https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r2.pdf