Актуальная версия PCI DSS - PCI DSS 4.0, заменяющая версию PCI DSS 3.2.1. Это крупнейшее обновление за последние годы, и оно требует не просто доработки старых политик, а полноценного пересмотра архитектуры управления информационной безопасностью в организациях, работающих с карточными данными.
Помимо технических и организационных изменений, ключевым элементом подготовки остаётся создание регуляторной документации, соответствующей новым требованиям.
Помимо технических и организационных изменений, ключевым элементом подготовки остаётся создание регуляторной документации, соответствующей новым требованиям.
В PCI DSS 4.0 усилен акцент на управляемость, прозрачность процессов, контроль доступа, устойчивость к изменениям и безопасность на всех этапах жизненного цикла данных. Это требует не просто выполнения требований, но и документального подтверждения:
- наличие утвержденных политик и процедур.
- регламентированная модель управления рисками.
- распределение ответственности и обучение персонала.
- наличие утвержденных политик и процедур.
- регламентированная модель управления рисками.
- распределение ответственности и обучение персонала.
Ниже приведён набор ключевых документов, которые обычно разрабатываются в рамках подготовки компании к аудиту PCI DSS. Он сформирован с учётом требований пунктов 1–12 PCI DSS 4.0 и лучших практик отрасли.
Актуальность формулировок — многие шаблоны, созданные под PCI DSS 3.2.1, не покрывают требования 4.0.
Реалистичность процедур — описанное должно соответствовать реальным процессам в компании.
Логика ответственности — кто и за что отвечает должно быть прописано чётко и без дублирования.
Взаимосвязь документов — политика должна опираться на регламенты, а регламенты — на процедуры и стандарты.
- Политика информационной безопасности.
- Политика межсетевого экранирования.
- Политика управления ключами.
- Политика обеспечения безопасности при разработке и внедрении программного обеспечения.
- Процедура изменения прав доступа к информационным активам.
- Процедура мониторинга прав доступа к информационным активам.
- Процедура управления изменениями в информационной инфраструктуре.
- Процедура управления инцидентами информационной безопасности.
- Процедура управления уязвимостями.
- Процедуры обращения с носителями информации.
- Регламент антивирусной защиты.
- Регламент взаимодействия с третьими сторонами.
- Регламент использования сети Internet.
- Регламент использования электронной почты.
- Регламент криптографической защиты.
- Регламент мониторинга информационной инфраструктуры.
- Регламент обеспечения бесперебойной работы информационной инфраструктуры.
- Регламент обеспечения информационной безопасности при хранении и передаче информационных активов.
- Регламент парольной защиты.
- Регламент по управлению рисками информационной безопасности.
- Регламент распределения обязанностей и ответственности в области обеспечения информационной безопасности.
- Регламент управления доступом к информационным активам.
- Регламент физической защиты.
- Программа повышения осведомленности сотрудников в вопросах ИБ
- Стандарты конфигурации системных компонентов
Актуальность формулировок — многие шаблоны, созданные под PCI DSS 3.2.1, не покрывают требования 4.0.
Реалистичность процедур — описанное должно соответствовать реальным процессам в компании.
Логика ответственности — кто и за что отвечает должно быть прописано чётко и без дублирования.
Взаимосвязь документов — политика должна опираться на регламенты, а регламенты — на процедуры и стандарты.
Как сократить путь к соответствию?
Создание качественной документации — это не просто копирование шаблонов, а адаптация к вашему бизнесу, инфраструктуре и масштабу. Особенно для компаний в сферах финтеха, e-commerce, gambling и платежных решений, где требования могут быть ещё строже.
Над разработкой такого комплекта обычно работает команда специалистов по ИБ и соответствию, владеющая опытом внедрения PCI DSS на практике.
Создание качественной документации — это не просто копирование шаблонов, а адаптация к вашему бизнесу, инфраструктуре и масштабу. Особенно для компаний в сферах финтеха, e-commerce, gambling и платежных решений, где требования могут быть ещё строже.
Над разработкой такого комплекта обычно работает команда специалистов по ИБ и соответствию, владеющая опытом внедрения PCI DSS на практике.
Если ваша команда ограничена во времени, не хочет рисковать при аудите или вам просто нужен понятный и слаженный результат — напишите мне, и я буду рад помочь с выполнением данной задачи.
