Этот год богат не только трагическими событиями, но и новыми версиями стандартов.
Кроме ISO 27002-2022 опубликована долгожданная версия PCI DSS 4.0, к которой предоставлял комментарии, и я! Учтено 3 из 5 моих рекомендаций. Не нашел данных про отдельные требования для длинных PAN и длинных BIN на стандартных PAN. И про особенности работы с микро сервисной архитектурой. Зато уделено внимание ключам, обработке данных в памяти и ссылкам на более актуальный PCI SSC Software Standards взамен PA DSS (последнее несомненно было бы и без моего внимания :-). Все приятно и своевременно.
Давайте рассмотрим детальнее, какие изменения претерпел стандарт, как они реализованы и в какие сроки необходимо их имплементировать.
Новая оригинальная версия стандарта PCI DSS 4.0 опубликована и доступна по ссылке.
Изменения PCI DSS 4.0 по сравнению с PCI DSS 3.2.1 доступны отдельным документом на официальном сайте.
Перевод изменений PCI DSS 4.0 на русском отдельным файлом - можно скачать по ссылке в конце статьи.
Ну что же, перейдем к изменениям в стандарте PCI DSS 4.0.
В документе
максимально структурно приведены внесенные изменения.
Раздел 3 кратко описывает изменения вводных разделов PCI DSS 4.0.
Достаточно
правильные формулировки о превалировании локальной регуляции и о том, что часть
требований может применяться к организациям на прямую, не хранящим PAN и пр.
Взаимодействие PCI DSS с PA DSS и теперь более актуальным PCI SSC Software Standards.
Раздел 4 описывает общие изменения между PCI DSS 3.2.1 и PCI DSS 4.0.
Раздел 5 детально сравнивает изменения между PCI DSS 3.2.1 и PCI DSS 4.0.
Содержит приличный
перечень изменений, основными из которых являются следующие.
Далее перечислены подразделы, Раздела 5.
Раздел 1. Расширен спектр сетевых технологий. Уточнена цель по контролю между
доверенными и недоверенными сетями, в том числе беспроводными. Детализированы и
расширены требования. Часть пунктов требований декомпозирована.
Раздел 2. Вводится требование 2.1.2 касательно описания, принятия и выполнения
обязанностей. Уточнены требования касательно небезопасных служб и протоколов.
Раздел 3. Значительно детализированы требования к хранению критичных данных до
завершения авторизации (3.2.1, 3.3.2). Без ключевой производственной
необходимости разрешается отображать только 4 последние цифры при маскировании.
Требования к ХЕШам. Шифрование на уровне диска или раздела, используется только
для съемных носителей. Запрещается использовать одинаковые ключи для тестовой и
производственной сред.
Раздел 4. О реестрах доверенных ключей и сертификатов, контроле их сроков действия.
Раздел 5. Расширенные требования и формулировки в части антивирусного ПО, учета в
оценке рисков и даже защите от фишинговых атак.
Раздел 6. Разделено ПО для внутреннего и стороннего пользования. Содержит требование
к реестру ПО. Требования по устранению угроз для публичных Web приложений. Требования к скриптам на платежных
страницах.
Раздел 7. Новые требования касательно проверки доступов и учетных записей.
Раздел 8. Отдельно выделены требования к терминалам точек продаж. Требование об
увеличении длины пароля с 7 до 12 символов. Отдельные указаны уменьшенные
требования для терминалов точек продаж (в случае одномоментного доступа только к
1 PAN).
Требование о
внедрении многофакторной аутентификации (MFA) для всех видов доступа в CDE. Запрет хардкодить пароли в файлах и скриптах.
Раздел 9. Отдельно выделены требования к посетителям. Изменены требования к
хранению, учету и уничтожению носителей.
Раздел 10. Требует использование автоматических механизмов для проведения проверок
журналов аудита. Целевого анализа рисков. Обнаруживать, предупреждать и
оперативно устранять сбои критических систем контроля безопасности.
Раздел 11. Требование к проведению внутренних сканирований с аутентификацией. Требование
к управлению всеми найденными уязвимостями (а не только критичными). Требования
к обнаружению изменений содержимого платежных страниц. Обнаружение скрытых
каналов передачи данных.
Раздел 12. Изменения к оценке рисков, требование проведения целевого анализа рисков.
Для поставщиков услуг - документировать и подтверждать сферу применения PCI DSS не реже чем каждые 6 месяцев. Требование по обновлению программы повышения
осведомленности раз в 12 месяцев. Частота обучения персонала должна
основываться на проведенном анализе рисков.
Отдельно
интересны требования 12.8. В частности 12.8.1-12.8.5 “использование TPSP соответствующего требованиям PCI DSS, не делает организацию соответствующей требованиям PCI DSS и не снимает с нее ответственность за соответствие требованиям PCI DSS”.
Приложение А1-A3 с описанием изменений по аналогии с разделами стандарта.
А также таблица, резюмирующая новые требования для всех организаций или только поставщиков услуг. Где указаны к какому сроку должны быть выполнены приведенные требования - немедленно или с 31 марта 2025 года.
В целом PCI DSS стал заметно больше. PCI DSS 3.2.1 содержит 180 страниц, тогда как PCI DSS 4.0 уже 360. Заметен более высокий уровень детализации, большее внимание на риск ориентированный подход, категоризацию требований и данных. Добавлен целый ряд новых требований и проверок.
Перевод изменений PCI DSS 4.0 на русском отдельным файлом - можно скачать тут.
