Виджет RETAIL & LOYALTY - это возможность быстро получить актуальную информацию
Добавить виджет на страницу Яндекс
Закрыть

Стандарт безопасности PCI DSS 3.0 стал официальным

18 Ноября 2013 Количество просмотров 1065 просмотров
card securityPayment Card Industry Data Security Standard (PCI-DSS) 3.0 теперь официально стал мировым стандартом. Вместе с ним появляется ряд новых требований к защите и указаний по ее обеспечению, призванных сделать инфраструктуру электронных платежей более безопасной.

Боб Руссо, главный менеджер совета Payment Card Industry Security Standards Council (PCI SSC), сообщил, что на протяжении последних месяцев совет обсуждал новый стандарт со своими участниками, и отзывы были весьма позитивными. PCI SSC начал публично продвигать и обсуждать стандарт PCI-DSS 3.0 в августе. В этом стандарте вновь делается акцент на непрерывном мониторинге безопасности и более четко формулируются требования, которые должна соблюдать торговля для получения сертификата PCI.

"Многие компании уже выполняют большинство положений PCI-DSS 3.0, поскольку основная масса не очень сильно отличается от прежних, — сказал Руссо. — Во многих случаях заново подчеркиваются те из них, которые должны стать само собой разумеющимися для торговых предприятий. Соблюдение требований безопасности не сводится к какому-то ежегодно проводимому мероприятию". Вместе с тем Руссо ожидает, что некоторые пункты вызовут у предприятий опасения, поскольку потребуют дополнительной работы. Большинство таких положений будет некоторое время именоваться в PCI-DSS 3.0 передовым опытом. До 15 января 2015 г. не потребуется соблюдать их для прохождения полной сертификации.

Одним из приемов передового опыта, который до этой даты не будет носить обязательного характера, является заключение соглашений между торговыми структурами и сторонними сервис-провайдерами о защите данных держателя карты, сказал главный технолог PCI SSC Трой Лич. К передовому опыту будет отнесено также положение 9.9, из которого вытекают дополнительные требования, касающиеся проверки физической защиты и охраны платежных терминалов. Своевременное обнаружение вредоносного кода Одним из требований PCI-DSS 3.0, которое торговле необходимо будет выполнить в 2013 г., является своевременное обнаружение вредоносного кода. Положение 5.1.2 было добавлено, чтобы любое лицо, обрабатывающее данные платежных карт, владело надежным процессом управления рисками в этой области.

"В прошлом представитель торговли мог сказать, что использует мэйнфрейм или Linux и не может установить антивирусное ПО, поскольку вирусов для Linux немного, если они вообще существуют, — пояснил Лич. — Новый пункт 5.1.2 признает присутствие таких угроз, и коммерсанты должны принять соответствующие меры. Стандарт PCI не предписывает в явном виде, нужно или не нужно устанавливать ПО для борьбы с вредоносами. Речь здесь идет о том, что необходим процесс для управления риском проникновения вредоносного кода".

Пароли В стандарте PCI-DSS 3.0 постоянно подчеркивается необходимость гибкости при управлении безопасностью, которая должна обеспечиваться различными постоянно совершенствуемыми способами. По словам Лича, это относится и к сложности паролей. "Прежде PCI требовала, чтобы пароли представляли собой комбинацию из семи и более букв и цифр, — сказал Лич. — Мы признали, что для обеспечения надежной аутентификации могут использоваться и другие средства. Это может быть не только пароль. Можно также использовать идентификационную фразу". Что дальше? PCI-DSS 3.0 является теперь официальным стандартом. По словам Руссо, он вводится в действие в январе 2014 г. Разница по времени между PCI-DSS 2.0 и 3.0, сказал он, составила три года, и пройдет, наверное, еще столько же, прежде чем появится PCI-DSS 4.0.

Это не означает, будто в ближайшие три года стандарт останется неизменным. Руссо считает вероятным появление поправок, а также дополнительных документов и ответов на часто задаваемые вопросы, касающихся отдельных требований. Целью PCI-DSS является защита индустрии платежных карт. И главным критерием успеха версии 3.0, сказал Руссо, будет снижение количества хищений данных. "Если нам придется столкнуться с крупным хищением данных, мы немедленно займемся вопросом, не следует ли что-то исправить в стандарте или что-нибудь добавить в него", — заявил он. 
Источник:  Pcweek.ru

Новости по теме

10:04, 20 Января 2017 Количество просмотров 120 просмотров
Минкомсвязь и силовые ведомства договорились смягчить «закон Яровой»
Объем обязательного для хранения интернет-трафика предложено сократить в десять раз.
11:31, 18 Января 2017 Количество просмотров 124 просмотра
ФСБ напомнила операторам о предстоящих расходах на исполнение закона Яровой
Спецслужба указала на необходимость заложить в бюджеты деньги и построить хранилища данных.
15:15, 17 Января 2017 Количество просмотров 166 просмотров
В 2017 году вымогатели переключатся на интернет вещей
Компания ESET подготовила отчет о тенденциях в сфере информационной безопасности, которые окажут влияние на киберландшафт в 2017 году.
15:01, 2 Декабря 2016 Количество просмотров 380 просмотров
Сотовые операторы получили инструкции на случай кибератак
Минкомсвязи и ФСБ отправили сотовым операторам телеграммы с инструкциями на случай кибератак.
12:10, 24 Ноября 2016 Количество просмотров 558 просмотров
WhatsApp атаковали мошенники
Мошенники собирают персональные данные, обещая бесплатные билеты на рейсы авиакомпании Emirates.** Перед новогодними каникулами мошенники пытаются воспользоваться повышенным спросом на авиабилеты. В этом году в WhatsApp активна спам-рассылка про «подарок от Emirates».

Спонсор рубрики

Наши видео

18-19 апреля 2017 г., г. Москва. Журнал «Retail & Loyalty» проводит 4-й Международный ПЛАС-Форум "Online & Offline Retail", посвященный анализу перспектив развития индустрии в России, странах СНГ и дальнего зарубежья


8332e6c91272f5c28733a9cb0aa0e76f.png
Информационный портал Retail & Loyalty
ул. Кржижановского, д. 29, корп. 5
Москва, 117218 Россия
Work +7 495 961 1065