Хочется напомнить, что с 1 февраля 2018 года (а это уже
совсем скоро) версия стандарта PCI DSS
3.2 становиться обязательной. Вероятно, большинство компаний уже прошло
сертификацию по данной версии, но есть и те, кому стоит с этим вопросом
поспешить.
Хотелось бы акцентировать внимание на основных изменениях, теперь уже обязательной версии стандарта PCI DSS 3.2:
- Мультифакторная аутентификация должна обеспечиваться при любом административном подключении к CDE.
- Пентесты для поставщиков услуг необходимо проводить каждые 6 месяцев или чаще.
- Проверки анализа логов, стандартов конфигурации, управления изменениями, тестирования систем безопасности и пересмотра правил сетевого экранирования. Так же для поставщиков услуг требуется детальное документирование криптографических процессов – алгоритмов, протоколов шифрования и пр.
- Раздел 10.8 обязывает сервис провайдеров внедрить процессы обнаружения отказов критических систем контроля ИБ с обязательным документированием таких ситуаций.
- Что касается SSL\TLS то сроки - 30.06.18. Детальная информация предоставлена на PCI Security Standards Council.
Так же рекомендую обратить внимание на требования IATA по
безопасности карточных платежей с 1 марта 2018 года.