быстрый доступ
15 ноября 2022, 18:23
Количество просмотров 155

Новые требования индустрии платежных карт. PCI DSS 4.0

Новые требования индустрии платежных карт. PCI DSS 4.0
15 и 16 сентября в Горной Олимпийской деревне Роза Хутор компания Deiteriy провела семинар, посвященный актуальным вопросам информационной безопасности в индустрии платежных карт, в частности, рассматривались требования новой версии стандарта PCI DSS 4.0.

На фото: Сергей Шустиков, генеральный директор Deiteriy

Почему именно PCI DSS? Во-первых, несмотря на геополитические изменения, соответствие PCI DSS является обязательным требованием платежной системы «Мир».

Во-вторых, летом 2022 года была опубликована новая версия стандарта PCI DSS 4.0. В новой версии стандарта произошли изменения как в самих требованиях, так и в подходах к их выполнению.

ifgr-01.webp

Важным изменением является добавление индивидуального подхода к выполнению требований стандарта. В настоящий момент все требования должны выполняться напрямую, по заранее определенному подходу, единому для всех компаний. Индивидуальный подход позволяет расширить возможности по выполнению требований, предлагая более гибкие варианты. Каждое требование теперь содержит описание цели, которую необходимо достигнуть, при этом компания вправе самостоятельно выбирать средства и методы достижения этой цели. Аудитор при этом самостоятельно выберет способ проверки и убедится, что цель требования достигнута.

ifgr-02.webp

Сложность индивидуального подхода заключается в необходимости выполнения таргетированного анализа рисков для каждого такого требования.

Индивидуальный подход неприменим для выполнения самооценки (SAQ), а также к требованиям, предписывающим защиту хранимых карточных данных, и некоторым другим.

Применение индивидуального подхода не упрощает прохождение аудита и поддержание соответствия, однако помогает компаниям, обладающим высоким уровнем зрелости, гибче подойти к выполнению требований стандарта.

Большая часть новых требований вступит в силу 31 марта 2025 года. Упомянем некоторые из них:

  • пароли, используемые приложениями для доступа к базам данных и иным компонентам, станет нельзя хранить в программном коде и в конфигурационных файлах в открытом виде;
  • использование Web Application Firewall (WAF) для защиты публично доступных web-приложений станет обязательным;
  • для анализа событий информационной безопасности должна быть внедрена SIEM;
  • хешировать PAN допустимо только с применением hash-функций с секретом, при этом процедуры управления секретами должны соответствовать требованиям PCI DSS об управлении криптографическими ключами;
  • мультифакторная аутентификация должна быть внедрена для всех доступов к среде обработки данных платежных карт (как неконсольных, так и консольных);
  • должны быть внедрены системы контроля изменений на платежной странице, где вводятся данные платежных карт, и в HTTP-заголовках;
  • внутренний сканер уязвимостей должен иметь возможность авторизоваться в сканируемой системе.

Пройти QSA-аудит по новой версии PCI DSS 4.0 можно уже сейчас. С третьего квартала 2022 года можно проходить аудит как по версии 3.2.1, так и по версии 4.0. Однако с 31 марта 2024 года PCI DSS 3.2.1 утратит силу.

ifgr-03.webp

Помимо семинара можно было принять участие в воркшопе PRACTICAL SECURITY VILLAGE от исследовательской лаборатории Deiteriy Lab. Основная идея воркшопа заключается в том, чтобы участники могли познакомиться с новыми технологиями и получить знания о различных уязвимостях, способах их эксплуатации и методах, позволяющих не допустить возникновения этих уязвимостей.

Рубрика:
{}Финтех