Новая версия PCI DSS v4.0 уже бьет рекорды – в процессе запроса комментариев (Request For Comments - RFC) получено 3200 ответов! Это больше, чем в отношении любого стандарта PCI SSC. Причем почти 40% обратной связи идет от представителей торговли. Это повлияло и на график выпуска и жизненного цикла стандарта (Time Line), и на будущие сроки выполнения требований, в частности появились такие пункты, как «будущие требования», или «future-dated requirements», о чем пойдет речь ниже в статье.
Изменения
Организация Payment Card Inductry Security Standards Council (PCI SSC) – совет, созданный коллективным решением международных платежных систем VISA, Master Card, American Express, JCB, Discover, – уже почти 15 лет занимается разработкой и поддержкой стандартов обеспечения безопасности данных индустрии платежных карт. Основными прорабатываемыми советом документами являются:
Фокус внимания ключевого стандарта PCI DSS версии 3.2, ввиду роста популярности сервисных моделей в ИТ, уже смещен в сторону расширения ответственности сервис-провайдеров и критериев оценки всех участников, вовлеченных в обслуживание транзакций. Стандарт PCI DSS v3.2 содержит в себе двенадцать разделов проверки безопасности систем:
В то время как 12 основных требований PCI DSS в прорабатываемой версии v4.0 остаются в основном неизменными, предлагается несколько новых требований для устранения растущих рисков и угроз платежным данным и для усиления безопасности как непрерывного процесса. Кроме того, все текущие требования перерабатываются, чтобы сосредоточиться на целях безопасности и возможности дать больше гибкости организациям, использующим различные методологии для соответствия требованиям PCI DSS.
Наибольшее количество вопросов вызвали следующие пункты вышедшего на обсуждение драфта стандарта:
Кроме актуализации стандарта, целью новой версии является выработка отношения к ИБ как к постоянному процессу (continuous process), усиление методов валидации и процедур ИБ. По словам представителей совета PCI SSC это реализуется следующим образом: требования будут записаны в виде утверждений, основанных на результатах, с упором на реализацию контроля безопасности в качестве конечного результата. Для многих требований это достигается простым изменением формулировки: с формулировки того, что «должно» быть реализовано, на то, каков «есть» конечный результат безопасности. Проект стандарта PCI DSS v4.0 также включает заявления о намерениях, связывающие требования с результирующим состоянием безопасности. Заявления о намерениях напрямую поддерживают новый индивидуальный подход к валидации, четко определяя результат безопасности, которому должны соответствовать индивидуальные реализации стандарта. То есть поставлен акцент на результирующем состоянии ИБ, предоставляя большую гибкость в том, «как» организация достигает желаемого результата безопасности.
Отметим отличие этого подхода от компенсирующего контроля – для начала, организации, которые имеют средства контроля, соответствуют требованиям PCI DSS и которым удобны текущие методы проверки соблюдения требований PCI DSS, могут продолжать использовать этот подход. Новый вариант проверки дает организациям гибкость, позволяющую применять индивидуальный подход для достижения цели каждого требования безопасности PCI DSS.
Такой подход поддерживает организации, использующие собственные методы обеспечения безопасности, которые могут отличаться от традиционных требований PCI DSS. Посредством индивидуального подхода к проверке организации могут показать, как используемая ими конкретная реализация соответствует намерению и устраняет риск, предоставляя альтернативный способ удовлетворения заявленных требований. Предлагая два подхода к проверке PCI DSS (классическое соответствие с компенсирующими опциями или индивидуальные подходы реализации целей ИБ), организации могут определить, какой вариант лучше всего им подходит для реализации безопасности для каждого требования PCI DSS.
Набор стандартов с 2012 года является обязательным для всех организаций, где присутствуют хранение, обработка или передача хотя бы одного номера карты какой-либо из пяти международных платежных систем-участниц Совета PCI SSC («МИР», Visa, MasterCard, American Express, JCB и Discover) в рамках какого-либо бизнес-процесса организации, с ежегодным контролем поддержания соответствия путем внутреннего или внешнего аудита.
Изменения сопутствующих стандартов
Вместе с основным стандартом PCI DSS обновлению подвергаются и другие не менее важные документы:
PCI DSS for Large Organizations
В этом году организация PCI SSC, а точнее группа Special Interest Group (SIG), выпустила дополнение к стандарту – PCI DSS for Large Organizations. Документ содержит примеры организации ролей и распределения ответственности, процедурные рекомендации, рекомендации по взаимодействию с региональными органами аттестации и другую информацию, полезную крупному масштабированному бизнесу. Ниже приводится перечень разделов этого документа:
Критериями принадлежности к крупному бизнесу являются:
Каждую секцию можно рассматривать независимо. Документ является дополнением к стандарту PCI DSS независимо от его версии (и к версии 3.2.1, и к будущим версиям до момента обновления документа) и включает не технологические, а организационные рекомендации по реализации его требований. Использовать документ могут также организации меньшего масштаба (независимо от выполнения критериев принадлежности к крупному бизнесу).
Выводы
После выхода стандарта у организаций будет достаточно времени для приведения своих процессов в соответствие новым требованиям. Кроме того, часть требований готовится под грифом «future-dated», что дает дополнительный запас времени на их реализацию (нижний указатель времени – до 2024 года).
На текущий момент представлен следующий расширенный план-график внедрения PCI DSS v4.0:
Пытаться угадать новые требования и выполнить их заранее – не самый лучший вариант, так как это может привести к необоснованным затратам и смещению фокуса от текущих потребностей обеспечения ИБ. Лучшее, что можно сделать для подготовки, – это обеспечить соответствие имеющейся системы защиты требованиям текущей версии стандарта PCI DSS v3.2, а также заполнить пробелы в защите, исходя из актуальной аналитики рисков для обрабатываемых в организации платежных данных.
Все данные для статьи взяты с сайта https://www.pcisecuritystandards.org
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных