курс цб на 20.10:
57.5706
67.9333

PCI-DSS 3.0 становится официальным стандартом безопасности

18 ноября 2013 10:14 Количество просмотров68 просмотров

Боб Руссо, главный менеджер совета Payment Card Industry Security Standards Council (PCI SSC), сообщил, что на протяжении последних месяцев совет обсуждал новый стандарт со своими участниками, и отзывы были весьма позитивными. PCI SSC начал публично продвигать и обсуждать стандарт PCI-DSS 3.0 в августе. В этом стандарте вновь делается акцент на непрерывном мониторинге безопасности и более четко формулируются требования, которые должна соблюдать торговля для получения сертификата PCI. 

"Многие компании уже выполняют большинство положений PCI-DSS 3.0, поскольку основная масса не очень сильно отличается от прежних, — сказал Руссо. — Во многих случаях заново подчеркиваются те из них, которые должны стать само собой разумеющимися для торговых предприятий. Соблюдение требований безопасности не сводится к какому-то ежегодно проводимому мероприятию". Вместе с тем Руссо ожидает, что некоторые пункты вызовут у предприятий опасения, поскольку потребуют дополнительной работы. Большинство таких положений будет некоторое время именоваться в PCI-DSS 3.0 передовым опытом. До 15 января 2015 г. не потребуется соблюдать их для прохождения полной сертификации. 
Одним из приемов передового опыта, который до этой даты не будет носить обязательного характера, является заключение соглашений между торговыми структурами и сторонними сервис-провайдерами о защите данных держателя карты, сказал главный технолог PCI SSC Трой Лич. К передовому опыту будет отнесено также положение 9.9, из которого вытекают дополнительные требования, касающиеся проверки физической защиты и охраны платежных терминалов. Своевременное обнаружение вредоносного кода Одним из требований PCI-DSS 3.0, которое торговле необходимо будет выполнить в 2013 г., является своевременное обнаружение вредоносного кода. Положение 5.1.2 было добавлено, чтобы любое лицо, обрабатывающее данные платежных карт, владело надежным процессом управления рисками в этой области.  
"В прошлом представитель торговли мог сказать, что использует мэйнфрейм или Linux и не может установить антивирусное ПО, поскольку вирусов для Linux немного, если они вообще существуют, — пояснил Лич. — Новый пункт 5.1.2 признает присутствие таких угроз, и коммерсанты должны принять соответствующие меры. Стандарт PCI не предписывает в явном виде, нужно или не нужно устанавливать ПО для борьбы с вредоносами. Речь здесь идет о том, что необходим процесс для управления риском проникновения вредоносного кода". 
Пароли В стандарте PCI-DSS 3.0 постоянно подчеркивается необходимость гибкости при управлении безопасностью, которая должна обеспечиваться различными постоянно совершенствуемыми способами. По словам Лича, это относится и к сложности паролей. "Прежде PCI требовала, чтобы пароли представляли собой комбинацию из семи и более букв и цифр, — сказал Лич. — Мы признали, что для обеспечения надежной аутентификации могут использоваться и другие средства. Это может быть не только пароль. Можно также использовать идентификационную фразу". Что дальше? PCI-DSS 3.0 является теперь официальным стандартом. По словам Руссо, он вводится в действие в январе 2014 г. Разница по времени между PCI-DSS 2.0 и 3.0, сказал он, составила три года, и пройдет, наверное, еще столько же, прежде чем появится PCI-DSS 4.0. 
Это не означает, будто в ближайшие три года стандарт останется неизменным. Руссо считает вероятным появление поправок, а также дополнительных документов и ответов на часто задаваемые вопросы, касающихся отдельных требований. Целью PCI-DSS является защита индустрии платежных карт. И главным критерием успеха версии 3.0, сказал Руссо, будет снижение количества хищений данных. "Если нам придется столкнуться с крупным хищением данных, мы немедленно займемся вопросом, не следует ли что-то исправить в стандарте или что-нибудь добавить в него", — заявил он. 
 По материалам Pcweek.ru



В рубриках:
Безопасность
Лента новостей
Безопасность
Технологии Big Data для корпоративного бизнеса
18 октября 2017 13:02
Количество просмотров 1165 просмотров
Мероприятия SOC-Форум 2017 — 22 ноября в Москве
17 октября 2017 10:20
Количество просмотров 228 просмотров
Криптовалюты Crypterium: как работает криптобанк?
13 октября 2017 14:36
Количество просмотров 850 просмотров
Регуляторы Банкноты 200 и 2000 рублей: какие они?
12 октября 2017 15:00
Количество просмотров 512 просмотров
Технологии Сбербанк выводит роботов на работу
12 октября 2017 14:02
Количество просмотров 1094 просмотра