В ответ на отзывы и вопросы заинтересованных сторон, полученные после публикации PCI DSS v4.0 в марте 2022 года, Совет по стандартам безопасности PCI (PCI SSC) опубликовал ограниченную редакцию стандарта PCI DSS v4.0.1. Она включает исправления форматирования и типографских ошибок, а также разъясняет направленность и цель некоторых требований и рекомендаций. В данной редакции нет дополнительных или удаленных требований.
Чтобы обеспечить эффективную поддержку внедрения PCI DSS v4 в отрасли, Совету консультантов PCI SSC, Глобальному круглому столу руководителей-оценщиков и основным организациям-участникам (через Группу по технологическому руководству) было предложено рассмотреть предлагаемые изменения и предоставить свои отзывы в рамках периода запроса комментариев (RFC), который длился с декабря 2023 года по январь 2024 года. Сводка отзывов по RFC доступна всем участникам RFC на портале PCI SSC.
Полное описание изменений см. в документе «Обзор изменений PCI DSS версии 4.0 и 4.0.1», который теперь доступен в библиотеке документов PCI SSC. В этом обновлении представлены следующие изменения:
Требование 3
Уточнены примечания к применению для эмитентов и компаний, поддерживающих услуги эмиссии.
Добавлена цель «Индивидуальный подход» и уточнены требования к применению для организаций, использующих криптографические хэши с ключами для обеспечения нечитаемости основных номеров счетов (PAN).
Уточнены примечания к применению для эмитентов и компаний, поддерживающих услуги эмиссии.
Добавлена цель «Индивидуальный подход» и уточнены требования к применению для организаций, использующих криптографические хэши с ключами для обеспечения нечитаемости основных номеров счетов (PAN).
Требование 6
Вернута формулировка PCI DSS версии 3.2.1, согласно которой установка исправлений/обновлений в течение 30 дней применима только к «критическим уязвимостям».
Добавлены примечания к применению, разъясняющие применение требования к управлению скриптами платежных страниц. Требование 8
Добавлено примечание о применимости, согласно которому многофакторная аутентификация для любого (неадминистративного) доступа в CDE не распространяется на учётные записи пользователей, аутентификация которых выполнена только с использованием факторов аутентификации, устойчивых к фишингу.
Вернута формулировка PCI DSS версии 3.2.1, согласно которой установка исправлений/обновлений в течение 30 дней применима только к «критическим уязвимостям».
Добавлены примечания к применению, разъясняющие применение требования к управлению скриптами платежных страниц. Требование 8
Добавлено примечание о применимости, согласно которому многофакторная аутентификация для любого (неадминистративного) доступа в CDE не распространяется на учётные записи пользователей, аутентификация которых выполнена только с использованием факторов аутентификации, устойчивых к фишингу.
Требование 12
Обновлены примечания о применимости, чтобы прояснить некоторые моменты, касающиеся взаимоотношений между клиентами и сторонними поставщиками услуг (TPSP).
Приложения
Удалены примеры шаблонов для индивидуального подхода из Приложения E и даны ссылки на примеры шаблонов, доступные на веб-сайте PCI SSC.
Добавлены определения терминов «Правовое исключение», «Аутентификация, устойчивая к фишингу» и «Посетитель» в Приложение G.
Обновлены примечания о применимости, чтобы прояснить некоторые моменты, касающиеся взаимоотношений между клиентами и сторонними поставщиками услуг (TPSP).
Приложения
Удалены примеры шаблонов для индивидуального подхода из Приложения E и даны ссылки на примеры шаблонов, доступные на веб-сайте PCI SSC.
Добавлены определения терминов «Правовое исключение», «Аутентификация, устойчивая к фишингу» и «Посетитель» в Приложение G.
Часто задаваемые вопросы о PCI DSS v4.0.1
Когда PCI DSS v4.0 прекратит действие?
Как и в случае со всеми новыми версиями PCI DSS, будет период, когда текущая и обновлённая версии будут действовать одновременно. PCI DSS v4.0 прекратит свое действие 31 декабря 2024 года. После этого PCI DSS v4.0.1 будет единственной активной версией стандарта, поддерживаемой PCI SSC.
Когда PCI DSS v4.0 прекратит действие?
Как и в случае со всеми новыми версиями PCI DSS, будет период, когда текущая и обновлённая версии будут действовать одновременно. PCI DSS v4.0 прекратит свое действие 31 декабря 2024 года. После этого PCI DSS v4.0.1 будет единственной активной версией стандарта, поддерживаемой PCI SSC.
В случае сомнений обратитесь к разделу часто задаваемых вопросов 1328 «Где найти текущую версию PCI DSS?» для получения более подробной информации и ссылок на дополнительные часто задаваемые вопросы о переходе на обновлённую версию PCI DSS.
Изменяет ли PCI DSS v4.0.1 дату вступления в силу новых требований — 31 марта 2025 года?
Нет. Эта ограниченная редакция не влияет на дату вступления в силу этих новых требований.
Нет. Эта ограниченная редакция не влияет на дату вступления в силу этих новых требований.
Есть ли какие-либо новые требования в PCI DSS v4.0.1?
Нет. Поскольку это ограниченная редакция, новых или удалённых требований нет. Полную информацию см. в разделе «Обзор изменений PCI DSS v4.0.1 от PCI DSS v4.0.0».
Нет. Поскольку это ограниченная редакция, новых или удалённых требований нет. Полную информацию см. в разделе «Обзор изменений PCI DSS v4.0.1 от PCI DSS v4.0.0».
){kind=link}