курс цб на 11.12: USD 66.2416 EUR 75.7075
криптовалют: BTC 3408$ ETH 89.22$
Архив / 2018 / ЖУРНАЛ ПЛАС №4 / 890 просмотров

PCI DSS в 2018 году: что вами не сделано из того, что нужно было сделать?

Летом 2018 года вступают в силу дополнительные требования PCI DSS, которые до этого момента носили рекомендательный характер. О них было известно еще с 2016 года, с момента выхода версии 3.2 стандарта.

C 1 июля 2018 года все участники рынка должны отказаться от использования SSL v3 и TLS 1.0.

А еще до 31 января 2018-го все сервис-провайдеры должны были реализовать у себя дополнительные процессы безопасности.

Многие сегодня считают, что новая версия PCI DSS вступила в силу с 1 февраля 2018 года. Однако это не так – новая минорная версия может появиться в этом году. Итак, обо всем по порядку.

50-2
Андрей Гайко, заместитель генерального директора Digital Compliance, дочерней структуры Digital Security

Разговоры о необходимости отключения SSL и TLS 1.0 идут давно. Однако основная часть игроков рынка заняла выжидательную позицию, и никто не спешит «опускать рубильник». Если смотреть на предоставленную нашими клиентами статистику, то старыми версиями SSL и TLS пользуется 5–8% пользователей. Именно из-за них отключение и не происходит. Что делать с этими пользователями после 30 июня? Четкого ответа никто пока дать не может. Понятно, что на страницах оплаты интернет-магазинов и в мобильных приложениях уже сейчас выводятся сообщения о необходимости обновления пользовательского аппаратного и программного обеспечения. Но для российских компаний есть одно решение, которое позволяет не отключать SSL 3.0 и TLS 1.0. Так, в PCI DSS сказано: «PCI DSS does not supersede local or regional laws, government regulations, or other legal requirements». Платежи по банковским картам на территории РФ регулируются в рамках Федерального закона № 161-ФЗ и соответствующих подзаконных актов. В 161-ФЗ говорится о необходимости обеспечения бесперебойного функционирования платежной системы. В случае отключения SSL/TLS бесперебойность будет нарушена, а значит, будет нарушен закон. Конечно, использовать SSL 3.0 и TLS 1.0 рискованно, но что делать, если этого требует бизнес?

Однако есть и компании, которые отключают небезопасные протоколы волевым решением.

Продолжение материала содержит полезную для вашего бизнеса информацию…

Подписка позволяет читать все статьи портала

Читайте в этом номере: