Виджет RETAIL & LOYALTY - это возможность быстро получить актуальную информацию
Добавить виджет на страницу Яндекс
Закрыть

Стандарт безопасности PCI DSS 3.0 стал официальным

18 Ноября 2013 Количество просмотров 1243 просмотра
card securityPayment Card Industry Data Security Standard (PCI-DSS) 3.0 теперь официально стал мировым стандартом. Вместе с ним появляется ряд новых требований к защите и указаний по ее обеспечению, призванных сделать инфраструктуру электронных платежей более безопасной.

Боб Руссо, главный менеджер совета Payment Card Industry Security Standards Council (PCI SSC), сообщил, что на протяжении последних месяцев совет обсуждал новый стандарт со своими участниками, и отзывы были весьма позитивными. PCI SSC начал публично продвигать и обсуждать стандарт PCI-DSS 3.0 в августе. В этом стандарте вновь делается акцент на непрерывном мониторинге безопасности и более четко формулируются требования, которые должна соблюдать торговля для получения сертификата PCI.

"Многие компании уже выполняют большинство положений PCI-DSS 3.0, поскольку основная масса не очень сильно отличается от прежних, — сказал Руссо. — Во многих случаях заново подчеркиваются те из них, которые должны стать само собой разумеющимися для торговых предприятий. Соблюдение требований безопасности не сводится к какому-то ежегодно проводимому мероприятию". Вместе с тем Руссо ожидает, что некоторые пункты вызовут у предприятий опасения, поскольку потребуют дополнительной работы. Большинство таких положений будет некоторое время именоваться в PCI-DSS 3.0 передовым опытом. До 15 января 2015 г. не потребуется соблюдать их для прохождения полной сертификации.

Одним из приемов передового опыта, который до этой даты не будет носить обязательного характера, является заключение соглашений между торговыми структурами и сторонними сервис-провайдерами о защите данных держателя карты, сказал главный технолог PCI SSC Трой Лич. К передовому опыту будет отнесено также положение 9.9, из которого вытекают дополнительные требования, касающиеся проверки физической защиты и охраны платежных терминалов. Своевременное обнаружение вредоносного кода Одним из требований PCI-DSS 3.0, которое торговле необходимо будет выполнить в 2013 г., является своевременное обнаружение вредоносного кода. Положение 5.1.2 было добавлено, чтобы любое лицо, обрабатывающее данные платежных карт, владело надежным процессом управления рисками в этой области.

"В прошлом представитель торговли мог сказать, что использует мэйнфрейм или Linux и не может установить антивирусное ПО, поскольку вирусов для Linux немного, если они вообще существуют, — пояснил Лич. — Новый пункт 5.1.2 признает присутствие таких угроз, и коммерсанты должны принять соответствующие меры. Стандарт PCI не предписывает в явном виде, нужно или не нужно устанавливать ПО для борьбы с вредоносами. Речь здесь идет о том, что необходим процесс для управления риском проникновения вредоносного кода".

Пароли В стандарте PCI-DSS 3.0 постоянно подчеркивается необходимость гибкости при управлении безопасностью, которая должна обеспечиваться различными постоянно совершенствуемыми способами. По словам Лича, это относится и к сложности паролей. "Прежде PCI требовала, чтобы пароли представляли собой комбинацию из семи и более букв и цифр, — сказал Лич. — Мы признали, что для обеспечения надежной аутентификации могут использоваться и другие средства. Это может быть не только пароль. Можно также использовать идентификационную фразу". Что дальше? PCI-DSS 3.0 является теперь официальным стандартом. По словам Руссо, он вводится в действие в январе 2014 г. Разница по времени между PCI-DSS 2.0 и 3.0, сказал он, составила три года, и пройдет, наверное, еще столько же, прежде чем появится PCI-DSS 4.0.

Это не означает, будто в ближайшие три года стандарт останется неизменным. Руссо считает вероятным появление поправок, а также дополнительных документов и ответов на часто задаваемые вопросы, касающихся отдельных требований. Целью PCI-DSS является защита индустрии платежных карт. И главным критерием успеха версии 3.0, сказал Руссо, будет снижение количества хищений данных. "Если нам придется столкнуться с крупным хищением данных, мы немедленно займемся вопросом, не следует ли что-то исправить в стандарте или что-нибудь добавить в него", — заявил он. 
Источник:  Pcweek.ru

Новости по теме

14:31, 3 Июля 2017 Количество просмотров 318 просмотров
«Роснефть» ликвидировала последствия кибератаки
Розничная сеть компании работает в штатном режиме, - говорится в сообщении компании.
12:17, 28 Июня 2017 Количество просмотров 306 просмотров
Почта России пресекла крупную мошенническую схему отправки «серой почты»
Сотрудниками службы безопасности Почты России проведена масштабная операция по выявлению и пресечению мошеннической схемы, по которой в почтовую сеть поступали сотни тысяч неучтенных и неоплаченных почтовых отправлений. Ущерб, причиненный государству, составил сотни миллионов рублей.
11:19, 28 Июня 2017 Количество просмотров 362 просмотра
Вирус Petya атаковал российские туристические компании
Среди туроператоров хакерской атаке подверглись «Музенидис Трэвел» и ANEX Tour.  
11:06, 28 Июня 2017 Количество просмотров 298 просмотров
АШАН на Украине подвергся хакерской атаке
«Ашан Ритейл Украина» допускает проблемы с поставками продукции вследствие кибератаки вируса-вымогателя Petya.
10:50, 28 Июня 2017 Количество просмотров 390 просмотров
Petya: эксперты рассказали о природе вируса
Более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. Как отмечают эксперты Positive Technologies, эта кампания оказалась вовсе не связана с WannaCry.

Наши видео

18-19 апреля 2017 г., г. Москва. Журнал «Retail & Loyalty» проводит 4-й Международный ПЛАС-Форум "Online & Offline Retail", посвященный анализу перспектив развития индустрии в России, странах СНГ и дальнего зарубежья


Информационный портал Retail & Loyalty
ул. Кржижановского, д. 29, корп. 5
Москва, 117218 Россия
Work +7 495 961 1065