Что нового ожидать от сертификации PCI DSS в 2018-м году?

Что нового ожидать от сертификации  PCI DSS в 2018-м году?

Также читайте статью “Сертификат PCI DSS”


Конец года – это, традиционно, отличное время для подведения итогов и для того, чтобы заглянуть в будущее и сделать прогноз на следующий год.

В этой статье мы хотели бы рассмотреть, что нового ждёт всех нас, тех, кто так или иначе связан со стандартом PCI DSS.  К чему стоит готовиться тем компаниям, которые уже получили сертификат?  Не менее важно выяснить, чего ожидать тем компаниям, которые планируют впервые пройти сертификацию в течение 2018 года.

Напомним, что такое стандарт PCI DSS.

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт. Он разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами, такими как: Visa, MasterCard, American Express, JCB и Discover.

Стандарт PCI DSS – это набор требований по обеспечению безопасности данных о держателях платёжных карт, которые хранятся, передаются и обрабатываются в информационных инфраструктурах организаций. Стандарт содержит в себе всего 12 чётких, детализированных требований.

PCI DSS – это стандарт, который постоянно изменяется, в него добавляются новые требования, что фактически отображает динамичное развитие информационных технологий.

Для того чтобы учитывать все последние тенденции в сфере ит-технологий, в 2014 году международный консорциум PCI DSS описал процесс постоянного обновления стандарта в документе под названием «Жизненный цикл PCI DSS». Этот цикл рассчитан на трёхлетний период, в рамках которого происходит разработка и изменение стандарта.

Стандарт PCI DSS 3.0 был выпущен в ноябре 2013 года. Эта версия стандарта оказалась несовершенной и подвергалась многочисленными правкам и корректировкам. В апреле 2015 года, ещё до окончания обыкновенного жизненного цикла стандарта PCI DSS 3.0, была выпущена модификация PCI DSS 3.1.

Следующая версия стандарта PCI DSS 4.0 по плану должна была выйти в ноябре 2016 года. Но, эта версия так до сих пор и не появилась. По мнению наших специалистов, скорее всего, в 2018 году версия PCI DSS 4.0 так и не появится. Причиной тому стали горячие споры среди экспертов, что вообще должен из себя представлять стандарт PCI DSS для того, чтобы соответствовать современным реалиям кибербезопасности и быть эффективным в противостоянии со всевозможными киберугрозами.

Вместо версии PCI DSS 4.0 в апреле 2016 года появилась версия стандарта PCI DSS 3.2.  Эта версия актуальна в настоящий момент и продолжит действовать в течение всего 2018 года.

Важно сконцентрировать ваше внимание на том факте, что стандарт PCI DSS 3.2 заметно отличается от всех предыдущих. В нём появились новые требования, вступающие в силу только в 2018-м году. Компании, которые проходили и аудит, и сертификацию по версии PCI DSS 3.2 в течение 2016-2017 годов, имели полное право игнорировать эти требования до наступления 2018 года.

ВОЗНИКЛИ ВОПРОСЫ?

получите консультацию у наших экспертов абсолютно бесплатно

Связаться

Сейчас мы подробно рассмотрим новые требования стандарта PCI DSS 3.2, которые вступят в силу в 2018 году.

С 31 января 2018 года каждая компания, сертифицированная по стандарту, должна сделать, внедрить или предпринять следующее:

  • Для всех системных администраторов должна быть внедрена двухфакторная аутентификация. Это значит, что системные администраторы не смогут подключаться к серверам на основании только имени и пароля. У каждого из них должны быть либо USB-ключ, либо смарт-карта, либо считыватель отпечатка пальца и т.д.
  • Тестирование на проникновение для систем, обрабатывающих карточные данные, должно выполняться каждые 6 месяцев. Таким образом, начиная с января, пентест нужно делать в два раз чаще.
  • Компания, проходящая сертификацию, должна определить и описать ответственность высшего руководства за выполнение требований стандарта PCI DSS. Теперь с начала 2018 года за соответствие требованиям стандарта PCI DSS отвечает директор компании, а не специалисты из отдела информационных технологий.
  • Ранее от компании требовалось только внедрить системы обеспечения информационной безопасности (кибербезопасности). А в 2018 году нужно будет обеспечить постоянное функционирование этих систем, их мониторинг, обнаружение сбоев и быстрое восстановление.
  • Компания должна подробно описать то, какие алгоритмы, протоколы и процедуры она использует для криптографических операций, и строго следовать этим процедурам.
  • Дополнительные требования выдвигаются также к процессу управления изменениями в инфраструктуре. Компания обязана следить за тем, чтобы при добавлении новой подсистемы она уже соответствовала всем требованиям стандарта PCI DSS 3.2.
  • Компания должна каждые полгода проводить внутренний аудит выполняемых процессов в соответствии с требованиями стандарта PCI DSS 3.2.
  • Начиная с 30 июня 2018 года все компании должны окончательно перейти на использования нового стандарта шифрования TLS 1.2

Также читайте статью “Сертификат PCI DSS для турфирм”


Несмотря на то что существенных изменений не предвидится, количество усилий по поддержанию и выполнению всех требований стандарта PCI DSS увеличится.

Чтобы сертификация по стандарту PCI DSS в 2018 году не принесла неприятных сюрпризов, мы советуем тщательно подходить к выбору аудитора и консультанта.

Напомним важную информацию, что с 1 марта 2018 года вступают в силу требования по безопасности карточных платежей международной ассоциации IATA. Поэтому компаниям, которые занимаются туризмом, авиаперевозками или продажами авиабилетов, важно ознакомиться с новыми требованиями стандарта PCI DSS 3.2 и поспешить с тем, чтобы пройти успешную сертификацию.

Компания «ИТ Специалист» предоставит полный спектр услуг по обеспечению информационной безопасности и проведёт сертификацию по стандарту PCI DSS для вашего бизнеса. Благодаря нашему сотрудничеству, вашей компании не будут угрожать хакерские атаки. Ваш бизнес будет процветать в Новом Году и сможет выйти на новый уровень развития!

Звоните прямо сейчас, и наша команда профессионалов займётся кибербезопасностью вашего бизнеса незамедлительно.


Также читайте статью “Сертификация PCI DSS в Украине”


Авторы статьи:
Александр Куберский, Дмитрий Петращук.

Компания “ИТ-Специалист” – G+

ХОТИТЕ ЗАКАТЬ СЕРТИФИКАЦИЮ?

Узнайте как или задайте интересующий Вас вопрос нашим экспертам