erid 2SDnje4KwUm

Семинар по новым требованиям индустрии платежных карт в Сочи

21.09.2022
Семинар по новым требованиям индустрии платежных карт в Сочи

15 и 16 сентября в Горной Олимпийской деревне Роза Хутор компания Deiteriy провела семинар, посвященный актуальным вопросам информационной безопасности в индустрии платежных карт, в частности, рассматривались требования новой версии стандарта PCI DSS 4.0.

Почему именно PCI DSS?

Во-первых, несмотря на геополитические изменения, соответствие PCI DSS является обязательным требованием платежной системы «Мир».

Во-вторых, летом 2022 года была опубликована новая версия стандарта PCI DSS 4.0. В новой версии стандарта произошли изменения как в самих требованиях, так и в подходах к их выполнению.

1.jpg

Важным изменением является добавление индивидуального подхода к выполнению требований стандарта. В настоящий момент все требования должны выполняться напрямую, по заранее определенному подходу, единому для всех компаний. Индивидуальный подход позволяет расширить возможности по выполнению требований, предлагая более гибкие варианты. Каждое требование теперь содержит описание цели, которую необходимо достигнуть, при этом компания вправе самостоятельно выбирать средства и методы достижения этой цели. Аудитор при этом самостоятельно выберет способ проверки и убедится, что цель требования достигнута.

Сложность индивидуального подхода заключается в необходимости выполнения таргетированного анализа рисков для каждого такого требования.

2.jpg

Индивидуальный подход не применим для выполнения самооценки (SAQ), а также к требованиям, предписывающим защиту хранимых карточных данных, и некоторым другим.

Применение индивидуального подхода не упрощает прохождение аудита и поддержание соответствия, однако помогает компаниям, обладающим высоким уровнем зрелости, гибче подойти к выполнению требований стандарта.

Большая часть новых требований вступит в силу 31 марта 2025 года. Упомянем некоторые из них:

  • пароли, используемые приложениями для доступа к базам данных и иным компонентам, станет нельзя хранить в программном коде и в конфигурационных файлах в открытом виде;
  • использование Web Application Firewall (WAF) для защиты публично доступных web-приложений станет обязательным;
  • для анализа событий информационной безопасности должна быть внедрена SIEM;
  • хешировать PAN допустимо только с применением hash-функций с секретом, при этом процедуры управление секретами должны соответствовать требованиями PCI DSS об управлении криптографическими ключами;
  • мультифакторная аутентификация должна быть внедрена для всех доступов к среде обработки данных платежных карт (как неконсольных, так и консольных);
  • должны быть внедрены системы контроля изменений на платежной странице, где вводятся данные платежных карт, и в HTTP-заголовках;
  • внутренний сканер уязвимостей должен иметь возможность авторизоваться в сканируемой системе.

3.png

Согласно плану перехода, пройти QSA-аудит по новой версии PCI DSS 4.0 можно уже сейчас. С третьего квартала 2022 года можно проходить аудит как по версии 3.2.1, так и по версии 4.0. Однако, с 31 марта 2024 года PCI DSS 3.2.1 утратит силу.

Помимо семинара можно было принять участие в воркшопе PRACTICAL SECURITY VILLAGE от исследовательской лаборатории Deiteriy Lab. Основная идея воркшопа заключается в том, чтобы участники могли познакомиться с новыми технологиями и получить знания о различных уязвимостях, способах их эксплуатации и методах, позволяющих не допустить возникновения этих уязвимостей.

Популярные материалы