PCI DSS v4.0.1: Оновлення та вимоги до безпеки

9400930f-477a-4d3f-8e44-d0dea9588021
d077e2d5-c83c-4df6-9a59-a721946419ba
56842275-452a-4bc4-b828-3a7685eaad6e
a1795d16-b1af-4fac-b2ee-3f1aa3999081
64212056-8764-4d1a-a462-10d11442d161
533c4f75-1af9-4730-be1c-3e3d3958a0cc

Безпечна інтеграція в майбутнє

Продукти та рішення
Клієнти
Партнери
Про компанію
- Про нас
- Новини
CyberIN
Кар'єра
- Вакансії
- Наше життя
Контакти

Продукти та рішення
Клієнти
Партнери
Про компанію
- Про нас
- Новини
CyberIN
Кар'єра
- Вакансії
- Наше життя
Контакти

9400930f-477a-4d3f-8e44-d0dea9588021
d077e2d5-c83c-4df6-9a59-a721946419ba
56842275-452a-4bc4-b828-3a7685eaad6e
a1795d16-b1af-4fac-b2ee-3f1aa3999081
64212056-8764-4d1a-a462-10d11442d161
533c4f75-1af9-4730-be1c-3e3d3958a0cc

Безпечна інтеграція в майбутнє

PCI DSS v4.0.1: Що це таке, навіщо та у чому відмінність від версії 4.0

Майстер-клас: секрети випікання найсмачніших млинців!

24.02.2025

Вступ

PCI DSS (Payment Card Industry Data Security Standard) — це міжнародний стандарт безпеки даних для індустрії платіжних карт, створений з метою захисту конфіденційної інформації власників карток. Після випуску PCI DSS v4.0 у 2022 році стандарт пройшов певні оновлення, і у 2024 році була представлена версія PCI DSS v4.0.1. У цій статті розглянемо, що це за версія, навіщо вона була впроваджена та які основні відмінності від попередньої версії 4.0.

Навіщо потрібне оновлення до v4.0.1?

PCI DSS v4.0.1 — це не повністю нова редакція стандарту, а скоріше уточнення та виправлення попередньої версії. Основними причинами його випуску стали:
1. Виправлення помилок і неточностей, виявлених у v4.0 після його впровадження.2. Уточнення формулювань вимог, що дозволяє знизити неоднозначність їх інтерпретації та забезпечити більш точне впровадження безпекових заходів.
3. Актуалізація відповідності сучасним кіберзагрозам та технологічним викликам.
Основні відмінності PCI DSS v4.0.1 від v4.0
1. Редакційні зміни та виправлення. Деякі вимоги, визначені в PCI DSS v4.0, містили нечіткі формулювання або технічні неточності, що потребували коригування.
2. Оновлення термінології. PCI SSC (орган, що відповідає за стандарт) переглянув деякі визначення для забезпечення більшої точності.
3. Виправлення у вимогах щодо аудиту. Деякі аспекти аудиту та сертифікації були оновлені, щоб полегшити організаціям відповідність стандарту.
4. Уточнення у вимогах до криптографічного захисту. Це включає додаткові вказівки щодо шифрування та ключів безпеки, зокрема:
- Вимога 3.5.1: уточнено варіації приведення PAN (повного номера платіжної картки) до нечитабельного вигляду.
5. Оновлення вимог, що стосується ранжування вразливостей за їх рівнем ризиків, а також терміни усунення вразливостей.
- Вимога 6.3.3: уточнено, що організація повинна встановлювати критичні оновлення програмного забезпечення протягом 1 місяця після їх випуску, в той час, як у версії PCI DSS v4.0 вимога стосувалася в тому числі та високих оновлень.
6. Оновлення у вимогах до багатофакторної аутентифікації (MFA).
- Вимога 8.4.2: уточнено, що MFA має застосовуватися для всіх адміністраторів та користувачів які мають не консольний (без прямого фізичного підключення) доступ до критичних систем.
- Вимога 8.4.3: конкретизовано вимоги до впровадження механізмів MFA для дистанційного доступу.

Що це означає для організацій?

Для компаній, що вже розпочали впровадження PCI DSS v4.0, оновлення до v4.0.1 не стане критичним викликом. Проте їм слід ознайомитися з виправленнями, щоб:
● Переконатися, що всі нові вимоги були правильно впроваджені.● Бути готовими, що після зміни у термінології та вимогах до аудитів аудитору можуть запитувати те, що раніше не запитували.● Оновити політики та процедури відповідно до вимог оновленої версії стандарту.

Висновки

PCI DSS v4.0.1 — це не революційне оновлення, а скоріше еволюційне покращення PCI DSS v4.0. Воно виправляє неточності та вдосконалює чинні вимоги, забезпечуючи більш чітке та ефективне їх впровадження. Організаціям, що працюють із платіжними картками, слід адаптувати свої процеси відповідно до нових вимог, щоб забезпечити відповідність і найвищий рівень захисту платіжних даних.
А детальніше за всіма змінами у стандарті PCI DSS v4.0.1 можна ознайомитися за посиланням.

IT Specialist — безпечна інтеграція в майбутнє.

Автор статті: Анастасія Кармазіна, провідний аудитор інформаційних технологій департаменту аудиту та сертифікації банківських і платіжних систем.