Виджет RETAIL & LOYALTY - это возможность быстро получить актуальную информацию
Добавить виджет на страницу Яндекс
Закрыть

Стандарт безопасности PCI DSS 3.0 стал официальным

18 Ноября 2013 Количество просмотров 1032 просмотра
card securityPayment Card Industry Data Security Standard (PCI-DSS) 3.0 теперь официально стал мировым стандартом. Вместе с ним появляется ряд новых требований к защите и указаний по ее обеспечению, призванных сделать инфраструктуру электронных платежей более безопасной.

Боб Руссо, главный менеджер совета Payment Card Industry Security Standards Council (PCI SSC), сообщил, что на протяжении последних месяцев совет обсуждал новый стандарт со своими участниками, и отзывы были весьма позитивными. PCI SSC начал публично продвигать и обсуждать стандарт PCI-DSS 3.0 в августе. В этом стандарте вновь делается акцент на непрерывном мониторинге безопасности и более четко формулируются требования, которые должна соблюдать торговля для получения сертификата PCI.

"Многие компании уже выполняют большинство положений PCI-DSS 3.0, поскольку основная масса не очень сильно отличается от прежних, — сказал Руссо. — Во многих случаях заново подчеркиваются те из них, которые должны стать само собой разумеющимися для торговых предприятий. Соблюдение требований безопасности не сводится к какому-то ежегодно проводимому мероприятию". Вместе с тем Руссо ожидает, что некоторые пункты вызовут у предприятий опасения, поскольку потребуют дополнительной работы. Большинство таких положений будет некоторое время именоваться в PCI-DSS 3.0 передовым опытом. До 15 января 2015 г. не потребуется соблюдать их для прохождения полной сертификации.

Одним из приемов передового опыта, который до этой даты не будет носить обязательного характера, является заключение соглашений между торговыми структурами и сторонними сервис-провайдерами о защите данных держателя карты, сказал главный технолог PCI SSC Трой Лич. К передовому опыту будет отнесено также положение 9.9, из которого вытекают дополнительные требования, касающиеся проверки физической защиты и охраны платежных терминалов. Своевременное обнаружение вредоносного кода Одним из требований PCI-DSS 3.0, которое торговле необходимо будет выполнить в 2013 г., является своевременное обнаружение вредоносного кода. Положение 5.1.2 было добавлено, чтобы любое лицо, обрабатывающее данные платежных карт, владело надежным процессом управления рисками в этой области.

"В прошлом представитель торговли мог сказать, что использует мэйнфрейм или Linux и не может установить антивирусное ПО, поскольку вирусов для Linux немного, если они вообще существуют, — пояснил Лич. — Новый пункт 5.1.2 признает присутствие таких угроз, и коммерсанты должны принять соответствующие меры. Стандарт PCI не предписывает в явном виде, нужно или не нужно устанавливать ПО для борьбы с вредоносами. Речь здесь идет о том, что необходим процесс для управления риском проникновения вредоносного кода".

Пароли В стандарте PCI-DSS 3.0 постоянно подчеркивается необходимость гибкости при управлении безопасностью, которая должна обеспечиваться различными постоянно совершенствуемыми способами. По словам Лича, это относится и к сложности паролей. "Прежде PCI требовала, чтобы пароли представляли собой комбинацию из семи и более букв и цифр, — сказал Лич. — Мы признали, что для обеспечения надежной аутентификации могут использоваться и другие средства. Это может быть не только пароль. Можно также использовать идентификационную фразу". Что дальше? PCI-DSS 3.0 является теперь официальным стандартом. По словам Руссо, он вводится в действие в январе 2014 г. Разница по времени между PCI-DSS 2.0 и 3.0, сказал он, составила три года, и пройдет, наверное, еще столько же, прежде чем появится PCI-DSS 4.0.

Это не означает, будто в ближайшие три года стандарт останется неизменным. Руссо считает вероятным появление поправок, а также дополнительных документов и ответов на часто задаваемые вопросы, касающихся отдельных требований. Целью PCI-DSS является защита индустрии платежных карт. И главным критерием успеха версии 3.0, сказал Руссо, будет снижение количества хищений данных. "Если нам придется столкнуться с крупным хищением данных, мы немедленно займемся вопросом, не следует ли что-то исправить в стандарте или что-нибудь добавить в него", — заявил он. 
Источник:  Pcweek.ru
Как вам статья?
(Нет голосов)

Новости по теме

15:01, 2 Декабря 2016 Количество просмотров 208 просмотров
Сотовые операторы получили инструкции на случай кибератак
Минкомсвязи и ФСБ отправили сотовым операторам телеграммы с инструкциями на случай кибератак.
12:10, 24 Ноября 2016 Количество просмотров 294 просмотра
WhatsApp атаковали мошенники
Мошенники собирают персональные данные, обещая бесплатные билеты на рейсы авиакомпании Emirates.** Перед новогодними каникулами мошенники пытаются воспользоваться повышенным спросом на авиабилеты. В этом году в WhatsApp активна спам-рассылка про «подарок от Emirates».
16:10, 10 Ноября 2016 Количество просмотров 326 просмотров
Каналы связи в «Эльдорадо» защищает ИнфоТеКС
Системы защиты информации компании ИнфоТеКС (ведущего отечественного разработчика программно-аппаратных решений в сфере информационной безопасности) обеспечивают защиту каналов связи в распределенной IT-инфраструктуре крупнейшей в России сети магазинов бытовой техники, электроники и товаров для дома «Эльдорадо».
11:39, 10 Ноября 2016 Количество просмотров 248 просмотров
Правительство одобрило установку «черных ящиков» в автомобилях
Для реализации проекта создана межведомственная рабочая группа, которая займется подготовкой законодательной базы.
13:00, 26 Октября 2016 Количество просмотров 418 просмотров
Автоматический обмен информацией (CRS) с Россией. Прогнозы
Присоединение России к конвенции по автоматическому обмену банковской информацией с 2018 года воодушевил налоговиков всего мира, включая Россию, что теперь банковской тайны больше нет. И информация из Швейцарских и других банков станет общедоступной.

Спонсор рубрики

Анонс номера

Наши видео

18-19 апреля 2017 г., г. Москва. Журнал «Retail & Loyalty» проводит 4-й Международный ПЛАС-Форум "Online & Offline Retail", посвященный анализу перспектив развития индустрии в России, странах СНГ и дальнего зарубежья


Информационный портал Retail & Loyalty
ул. Кржижановского, д. 29, корп. 5
Москва, 117218 Россия
Work +7 495 961 1065