Зміни в стандарті PCI DSS v4.0 та їхній вплив на вашу організацію у 2024 році

Майстер-клас: секрети випікання найсмачніших млинців!

22.02.2024
У сфері сертифікації за стандартом PCI DSS готуються до змін, які важливо знати. Відомо, що з 2018 року актуальною версією стандарту PCI DSS є v3.2.1. До 31 березня 2024 року її скасують. Перехід на нову версію стандарту PCI DSS v4.0 є обов'язковим для організацій, які займаються безпекою платіжних даних. Щоб полегшити цей перехід, додаємо декілька важливих рекомендацій. 
1.Найважливіше завдання – почати процес переходу вашої організації на PCI DSS v4.0 вже зараз. Адже дата відкликання PCI DSS v3.2.1 вже незабаром, тому важливо готуватися наперед. Що швидше ви зрозумієте, які вимоги накладає PCI DSS v4.0 на вашу організацію, тим раніше ви зможете розпочати планування та визначення пріоритетів, щоб забезпечити ефективний перехід.
2.При впровадженні змін для відповідності PCI DSS v4.0 важливо продовжувати дотримуватися всіх необхідних заходів забезпечення безпеки, які передбачені в попередній версії стандарту – PCI DSS v3.2.1. Необхідно утримувати всі чинні контролі безпеки PCI DSS навіть тоді, коли увага вже зосереджена на впровадженні нових вимог для версії 4.0.Якщо ваша організація вперше проходить сертифікацію PCI DSS – важливо одразу ознайомитися та враховувати всі вимоги оновленої версії PCI DSS v4.0.Аби краще зрозуміти зміни у PCI DSS v4.0, радимо почати зі «Зведеного опису змін між PCI DSS v3.2.1 та PCI DSS v4.0». Цей документ доступний у бібліотеці документів PCI SSC і містить корисний огляд відмінностей між двома версіями стандарту. Також він включає таблицю «Зведення нових вимог», де зазначені всі нові вимоги, особливості їх використання та дати набрання чинності.Крім цього, є багато додаткової інформації, що допомагає краще зрозуміти вимоги та пояснює нові концепції, введені в PCI DSS v4.0, зокрема «Аналіз цільового ризику» та «Контролі безпеки мережі».Організації, що використовують Анкети для самооцінки (SAQ), також повинні ознайомитися зі Стандартом, оскільки детальні рекомендації, що надаються для кожної вимоги, не включені до документів SAQ. Відбулися оновлення безпосередньо в SAQ, тому важливо, щоб суб'єкти самооцінки прочитали оновлену Анкету для самооцінки, аби розуміти всі зміни.
3.Після ознайомлення з усіма вимогами PCI DSS v4.0 проаналізуйте, які зміни очікують саме вашу організацію. Розгляньте, як перехід на нову версію 4.0 вплине на бізнес-процеси та ІТ-інфраструктуру в цілому. Можливо, ваша організація вже відповідає деяким вимогам версії 4.0 і ви зможете визначити пріоритети для переходу там, де вони найбільш необхідні. Такий фокус допоможе зекономити час і ресурси.Детальний аналіз змін допоможе вашій організації краще підготуватися, а ще легко та ефективно перейти на PCI DSS v4.0.
4.Під час переходу до PCI DSS v4.0 обов'язково розгляньте, який підхід до підтвердження відповідності є найкращим для вашої організації, враховуючи два основних варіанти: визначений та індивідуальний підхід.Визначений підхід використовує традиційний метод впровадження та підтвердження вимог PCI DSS, дотримуючись вимог та процедур тестування, які визначені у стандарті.Індивідуальний підхід дозволяє організаціям створювати власні системи безпеки, що враховують індивідуальні вимоги. Якщо ви розглядаєте індивідуальний підхід, переконайтеся, що розумієте та відповідаєте усім вимогам додаткового аналізу ризиків та документування, перш ніж намагатися підтвердити індивідуальний підхід.Якщо ви використовуєте компенсуючі контролі для виконання вимог PCI DSS v3.2.1, обов'язково перегляньте оновлені вимоги та варіанти підтвердження в v4.0, щоб визначити найкращий підхід.У підсумку вибір правильного підходу до підтвердження відповідності буде залежати від стратегії безпеки вашої організації та підходу до управління ризиками. Ретельно розгляньте обидва варіанти, щоб забезпечити вибір правильного підходу для вашої організації.
5.При переході на нову версію стандарту PCI DSS v4.0 необхідно інформувати керівників усіх департаментів, що мають стосунок до процесу сертифікації. Важливо забезпечити, щоб кожна особа розуміла свою роль, завдання і очікування. Необхідно чітко визначити відповідальності для всього процесу сертифікації.Ефективне керування проєктом є ключовим чинником для успішного переходу. Це передбачає відданість виконанню плану дій та систематичне відстеження результатів.Важливою рекомендацією є детальне документування всіх етапів. Створіть політики та процедури для підтримки постійного та систематичного впровадження засобів безпеки. Звертайте увагу на те, що в PCI DSS v4.0 також введені нові вимоги до документації, і цей факт важливо враховувати у своїй роботі.
6.Під час реалізації всіх необхідних заходів для переходу на стандарт PCI DSS v4.0 розумно звернутися до кваліфікованих аудиторів, які допоможуть ефективно та швидко пройти процес сертифікації на відповідність вимогам. Рекомендуємо співпрацювати з надійною командою компанії IT Specialist, яка володіє значним досвідом у цій сфері.Використовуйте технології та рішення, які пройшли випробування та відповідають стандартам безпеки для захисту платіжних даних. Організація PCI SSC регулярно публікує переліки продуктів і рішень, які валідовані відповідно до стандартів PCI SSC. Це включає рішення з шифрування точка-точка (Point-to-Point Encryption, P2PE), валідоване програмне забезпечення для обробки платежів та схвалені пристрої для точки продажу (PTS Devices).
7.Оптимальним способом підготовки до оцінки PCI DSS є проведення самооцінки, тож почати її слід якнайшвидше.Регулярні самооцінки допомагають ідентифікувати області, які вимагають уваги та вдосконалення. Це дозволяє чітко визначити пріоритети при виправленні виявлених недоліків.Проведення регулярних тестів на проникнення є також корисним для перевірки ефективності заходів безпеки на всіх системах і в областях, які підлягають оцінці. 8.PCI DSS v4.0 було розроблено з метою підтримки довгострокових та безперервних процесів забезпечення безпеки платіжних даних. Нова редакція стандарту принесла додаткову гнучкість, яка вперше дозволяє організаціям вибирати контролі безпеки, які найкраще відповідають їхнім бізнес- та безпековим потребам. Такий підхід дозволяє організаціям, які постійно удосконалюють контролі безпеки PCI DSS, протягом усього року уникати повторюваних випадків, коли після коротких періодів відповідності виникають нові ситуації порушення безпеки, що вимагають аварійних заходів для виправлення після кожної оцінки.Фокус на безпеці як на безперервному процесі дозволяє організаціям збільшити впевненість під час проходження сертифікації на відповідність PCI DSS v4.0 та зменшити ризик виникнення проблем у сфері кібербезпеки.
9.Представники організацій, які вже пройшли сертифікацію, добре розуміють, наскільки важко підтримувати відповідність стандарту PCI DSS протягом тривалого часу, оскільки ІТ-інфраструктура постійно змінюється. Щоб ефективно відслідковувати зміни в середовищі платіжних карток, існують різні програмні інструменти. Один із них є програмне рішення ITS Inventory, розроблене нашою компанією.ITS Inventory легко інтегрується в будь-яку ІТ-інфраструктуру без встановлення додаткових агентів. Це дозволяє керівникам ІТ та ІБ отримувати стан відповідності в реальному часі та виявляти відхилення з можливістю виправлення. Програма має функціональність для завантаження бібліотеки зовнішніх стандартів, включаючи PCI DSS v4.0, ISO 27001, НБУ 95, NIST CSF. За допомогою графічного інтерфейсу ITS Inventory можна швидко виявляти та виправляти проблеми відповідності.
Ми рекомендуємо використовувати ITS Inventory для автоматизації моніторингу відповідності як під час підготовки до сертифікації, так і для підтримки відповідності стандарту протягом року. Це дозволяє ефективно використовувати час та ресурси.Запрошуємо вас на консультацію з нашими професіональними аудиторами компанії ІТ Specialist, які готові надати підтримку та відповісти на всі ваші питання щодо сертифікації.