PCI DSS 4.0. Полет нормальный?

Как известно, PCI DSS 3.2.1 утрачивает свою актуальность после 31 марта 2024 года, и новая версия стандарта (4.0) вступает в полную силу после 31 марта 2025-го, что хронологически дает всем участникам год и два года соответственно на то, чтобы успешно осуществить переход на PCI DSS 4.0. Принимая это во внимание, сейчас самое подходящее время для того, чтобы взглянуть на новый стандарт более пристально.

Цели

Развитие любого стандарта является естественным и закономерным, PCI DSS также не является исключением. Отметим, что PCI Council идет в ногу со временем и совершенствует свой стандарт обеспечения безопасности карточных данных в соответствии с изменяющимся профилем киберугроз, требованиями и трендами индустрии платежного бизнеса, изменением в части ИТ-ландшафта (новые устройства, технологии, облачные сервисы, приложения и т. д.), а также необходимостью обладать гибкостью не в ущерб безопасности.

Итак, каковы основные цели разработки и внедрения PCI DSS 4.0? Их называется четыре:

1. Непрерывное следование требованиям информационной безопасности платежной индустрии;
2. Продвижение безопасности как непрерывного процесса;
3. Повышение гибкости для различных методологий;
4. Расширение методов тестирования и валидации.

Все выглядит логично. Однако для автора настоящей статьи наибольший интерес вызывает тезис «Безопасность как непрерывный процесс». Почему? Потому что, к сожалению, по большей части регуляторные требования и аудиты воспринимаются как формальность, наступающая с определенной периодичностью, работа ради работы и дополнительная головная боль для оцениваемых организаций. Однако успешное прохождение любой аттестации — это прежде всего логическое подтверждение высокой степени реализации мер информационной безопасности и качественного управления рисками. Т. е. своего рода знак качества платежной индустрии. И, что особенно важно, обеспечение информационной безопасности и риск-менеджмент — это постоянные и непрерывные процессы, которые не должны уходить из поля зрения компаний и их руководства.

Разбираясь, что да как…

Настал момент поподробнее рассмотреть нововведения стандарта PCI DSS 4.0. Так же, как и предыдущие релизы стандарта, большинство требований версии 4.0 являются требованиями отложенного действия, т. е. рекомендациями лучших практик, и не являются обязательными (внимание — есть исключения!) до 31 марта 2025 года. После названной даты стандарт войдет в полную силу и все требования станут обязательными.

Упомянутые требования можно условно отнести к «техническим», т. е. предусматривающим техническую реализацию, обеспечивающую соблюдение требования. Однако есть и другая категория, условно «документальная», входящие в нее требования нацелены на изменение политик и процессов обработки карточных данных. И, что важно, данные требования будут обязательными для аудита по стандарту PCI DSS 4.0 вне зависимости от даты его проведения.

Например, компания «X» (все реальные совпадения случайны) решила провести аудит на соответствие стандарту 4.0 уже в 2023 году. Версия 3.2.1 еще действует, и оценка относительно 4.0 не является обязательной. Компания «X» слышала, что требования нового стандарта являются обязательными только после 31 марта 2025 года, однако решила, что было бы хорошо получить аттестат соответствия заблаговременно.

Рекомендация: планируя свои подготовительные мероприятия, компания «X» должна внимательно ознакомиться с требованиями стандарта PCI DSS 4.0 и методами тестирования, чтобы точно понимать скоуп [скоуп проекта — весь объем работ проекта, нацеленный на достижение целей и задач проекта] будущего аудита, предписаний требований и того, что аудиторы будут ожидать в качестве подтверждения выполнения, поскольку отсутствие должной подготовки может привести к нежелательным результатам.

В дополнение к своим новым требованиям PCI Council также сделал многочисленные изменения в версии 4.0. Данные изменения можно классифицировать следующим образом: изменяющиеся и/или эволюционирующие требования (в англоязычной версии стандарта — evolving requirements), пояснения и руководство (clarification or guidance), а также структурные или форматные (structure or format). Рассмотрим эти группы изменений в общих чертах.

Изменяющиеся (эволюционирующие) требования:

• Новые требования
• Обновленные требования или методы оценки и тестирования
• Удаленные требования

Пояснения и руководство:

• Установление соответствия между требованиями и методами тестирования
• Устранение неточностей и уточнение формулировок
• Новые дополнения в разделы D и E, касающиеся индивидуального подхода (customised approach)

Структурные или форматные:

• Объединение, перемещение, изменение нумерации и т. д.

Данная статья фокусируется на изменяющихся требованиях не только потому, что они являются принципиальными, но также по той причине, что они включают те самые нововведения, которые оцениваемые организации должны будут имплементировать для соответствия версии 4.0.

Переход от PCI DSS 3.2.1 к PCI DSS 4.0

Итак, теперь попытаемся разобраться, насколько сложен будет переход от существующей версии стандарта к новой. Переход на стандарт PCI DSS 4.0 предусматривает реализацию 65 требований, 58 из которых относятся ко всем типам участников процесса (сервис-провайдер (Payment Service Provider), эквайрер, мерчант и т. д.), тогда как только 7 относятся к сервис-провайдерам. С точки зрения даты вступления в силу из вышеупомянутых 65 требований 19 вступают в силу немедленно для всех аттестаций по стандарту 4.0 (ранее упомянутые «документальные») и 46 (обозначенные как «технические») отложенного действия — после 31 марта 2025 (см. табл.).

Отдельно необходимо отметить следующее:

• В новой версии стандарта роли и обязанности будут применяться к каждому требованию, т. е. должно быть описание того, кто и за какую функцию отвечает.
• В случае применения и/или использования индивидуального подхода. (customised approach) (требование 12.3.2) должен применяться риск-анализ, основанный на воспроизводимой и надежной методологии достижения данного подхода.
• Требование 12.5.2 предписывает регулярную оценку скоупа PCI DSS с целью подтверждения его актуальности и соответствия изменяющимся целям организации.
• Требование 12.9.2 имеет дело с документацией, подтверждающей реализацию требований информационной безопасности в отношении данных клиентов. В сочетании с требованием 12.9.1 данный раздел направлен на формирование единого стандартизированного понимания обязанностей в рамках PCI DSS.

Предлагаемый вашему вниманию график демонстрирует количество изменений в стандарте PCI DSS 4.0 в разрезе каждой группы Требований 1 — 12.

«Окей гугл», что дальше?

В последнее время мне все чаще задают вопросы относительно перехода на стандарт PCI DSS 4.0, его ключевых моментах, потенциальных подводных камнях, реализации тех или иных требований, и в том числе, что буду делать лично я как специалист-практик. С удовольствием поделюсь этой информацией, однако сразу оговорюсь, что я не аффилирован с рыночными игроками России и СНГ, не QSA (англ. Qualified Security Assessor) и не аудитор, а просто владелец функции информационной безопасности и риск-менеджмента внутри организации, и привожу свое собственное экспертное видение. Итак, переходим к рекомендуемому порядку конкретных действий:

1. Убедитесь, что ваша компания имеет действующий аттестат соответствия (AoC) по стандарту 3.2.1 — возможно, звучит в некоторой степени вызывающе, но если по какой-либо причине выявилось несоответствие стандарту 3.2.1, то следует в первую очередь устранить несоответствия, и только уже потом планировать переход на 4.0.
2. Скачать 4.0 и прочитать, непонятое перечитать — тут отдельно хотелось бы обратить внимание на то, что стандарт нужно читать не как художественную литературу, а как техническую. Выделите определенное время, читайте вдумчиво, проводя аналогии и ссылаясь на существующую документацию.
3. Оценить скоуп и провести риск-оценку — тут потребуются большинство подразделений компании (технический персонал, операционщики, риски и комплаенс, безопасность, и т. д.), в том числе очень желательно привлечение QSA, которые уже должны были завершить обучение по новому стандарту. Особенно хорошо, если у QSA уже есть реальный опыт проведения аудитов по версии 4.0.
4. Провести gap-анализ — также и в пункте 3 наиболее эффективным методом будет рабочая встреча (и скорее всего, не одна) с элементами мозгового штурма, т. к. реализация технических требований может быть основана как на определенном (defined approach), так и на индивидуальном подходе (customised approach).
5. Понять, как тестировать и проверять соответствие новым требованиям — тут все более или менее понятно: «управляемо то, что измеряемо».
6. Приоритизировать — на основании gap-анализа и выбранного подхода реализации требований приоритизировать «тяжелые» требования в первую очередь, т. к. они могут потребовать значительных трудовых и временных ресурсов, а также повышения приоритета относительно других задач организации.
7. Включить (пока опциональную) оценку степени соответствия с 4.0 в скоуп 3.2.1 — если организация планирует проходить переаттестацию по стандарту 3.2.1 в этом году, то имеет смысл поговорить с вашим QSA и включить опциональную оценку по версии 4.0 в скоуп работ. Это будет недорого и позволит получить реальную картину относительно степени соответствия организации новому стандарту.
8. Оценить и спланировать устранение неполадок — по результатам пункта 7 спланировать программу мероприятий по полному переходу на PCI DSS 4.0
9. За 3–6 мес. до планируемого аудита по 4.0 провести PCI DSS Design review — это некая неформальная оценка или генеральная репетиция перед формальным (и стрессовым для многих) аудитом.
10. Пройти аудит и задокументировать «выученные уроки» — записывайте рекомендации аудиторов и те моменты, которые вызвали затруднения. Включите их в вашу будущую программу по поддержанию соответствия стандарту.
11. Отпраздновать с командой — ура! Аудит успешно пройден, теперь можно вздохнуть спокойно и на момент расслабиться. Проделана большая командная работа, персонал несколько стрессирован, но результат достигнут. Поблагодарить коллектив, признать общие и индивидуальные достижения очень ценно и важно для развития и поддержания здорового микроклимата в организации. А кофе с тортиком дополнительно подсластит общий успех!

Заключение и мысли

В данной статье мы посмотрели на стандарт PCI DSS глазами регулятора (PCI DSS Council), разобрались, что же нового предусматривает новый стандарт, и верхнеуровнево спланировали программу мероприятий по успешному прохождению аттестации по PCI DSS версии 4.0. Отдельно отмечу, что современная цифровая (и платежная в том числе) индустрия ставит перед всеми участниками определенные цели и задачи по обеспечению надежности и безопасности, что приводит к вполне обоснованному и органическому совершенствованию стандарта PCI DSS. Однако вместе с тем обеспечение надежности и безопасности должно быть непрерывным и воспроизводимым процессом для любой организации, работающей с карточными данными. И в этом случае успешное прохождение аудита на соответствие PCI DSS 4.0 будет закономерным итогом надлежащей реализации его требований и создания системы по контролю их мониторинга и контроля.

Успешной переаттестации всем читателям ПЛАС!

Читайте также:

Банковский сектор Азербайджана: взгляд со стороны клиента

В следующей статье мы поговорим об особенностях имплементации отдельных требований и ряда предписаний от PCI Council.

Уважаемые читатели! Предлагаем Вам уникальную возможность ознакомиться с Первым русифицированным перечнем изменений в рамках PCI DSS 4.0! Для того чтобы получить этот эксклюзивный документ, просьба написать нам и указать свои ФИО, структуру, должность и контакты для связи, включая телефон.