Виджет RETAIL & LOYALTY - это возможность быстро получить актуальную информацию
Добавить виджет на страницу Яндекс
Закрыть

Стандарт безопасности PCI DSS 3.0 стал официальным

18 Ноября 2013 Количество просмотров 1087 просмотров
card securityPayment Card Industry Data Security Standard (PCI-DSS) 3.0 теперь официально стал мировым стандартом. Вместе с ним появляется ряд новых требований к защите и указаний по ее обеспечению, призванных сделать инфраструктуру электронных платежей более безопасной.

Боб Руссо, главный менеджер совета Payment Card Industry Security Standards Council (PCI SSC), сообщил, что на протяжении последних месяцев совет обсуждал новый стандарт со своими участниками, и отзывы были весьма позитивными. PCI SSC начал публично продвигать и обсуждать стандарт PCI-DSS 3.0 в августе. В этом стандарте вновь делается акцент на непрерывном мониторинге безопасности и более четко формулируются требования, которые должна соблюдать торговля для получения сертификата PCI.

"Многие компании уже выполняют большинство положений PCI-DSS 3.0, поскольку основная масса не очень сильно отличается от прежних, — сказал Руссо. — Во многих случаях заново подчеркиваются те из них, которые должны стать само собой разумеющимися для торговых предприятий. Соблюдение требований безопасности не сводится к какому-то ежегодно проводимому мероприятию". Вместе с тем Руссо ожидает, что некоторые пункты вызовут у предприятий опасения, поскольку потребуют дополнительной работы. Большинство таких положений будет некоторое время именоваться в PCI-DSS 3.0 передовым опытом. До 15 января 2015 г. не потребуется соблюдать их для прохождения полной сертификации.

Одним из приемов передового опыта, который до этой даты не будет носить обязательного характера, является заключение соглашений между торговыми структурами и сторонними сервис-провайдерами о защите данных держателя карты, сказал главный технолог PCI SSC Трой Лич. К передовому опыту будет отнесено также положение 9.9, из которого вытекают дополнительные требования, касающиеся проверки физической защиты и охраны платежных терминалов. Своевременное обнаружение вредоносного кода Одним из требований PCI-DSS 3.0, которое торговле необходимо будет выполнить в 2013 г., является своевременное обнаружение вредоносного кода. Положение 5.1.2 было добавлено, чтобы любое лицо, обрабатывающее данные платежных карт, владело надежным процессом управления рисками в этой области.

"В прошлом представитель торговли мог сказать, что использует мэйнфрейм или Linux и не может установить антивирусное ПО, поскольку вирусов для Linux немного, если они вообще существуют, — пояснил Лич. — Новый пункт 5.1.2 признает присутствие таких угроз, и коммерсанты должны принять соответствующие меры. Стандарт PCI не предписывает в явном виде, нужно или не нужно устанавливать ПО для борьбы с вредоносами. Речь здесь идет о том, что необходим процесс для управления риском проникновения вредоносного кода".

Пароли В стандарте PCI-DSS 3.0 постоянно подчеркивается необходимость гибкости при управлении безопасностью, которая должна обеспечиваться различными постоянно совершенствуемыми способами. По словам Лича, это относится и к сложности паролей. "Прежде PCI требовала, чтобы пароли представляли собой комбинацию из семи и более букв и цифр, — сказал Лич. — Мы признали, что для обеспечения надежной аутентификации могут использоваться и другие средства. Это может быть не только пароль. Можно также использовать идентификационную фразу". Что дальше? PCI-DSS 3.0 является теперь официальным стандартом. По словам Руссо, он вводится в действие в январе 2014 г. Разница по времени между PCI-DSS 2.0 и 3.0, сказал он, составила три года, и пройдет, наверное, еще столько же, прежде чем появится PCI-DSS 4.0.

Это не означает, будто в ближайшие три года стандарт останется неизменным. Руссо считает вероятным появление поправок, а также дополнительных документов и ответов на часто задаваемые вопросы, касающихся отдельных требований. Целью PCI-DSS является защита индустрии платежных карт. И главным критерием успеха версии 3.0, сказал Руссо, будет снижение количества хищений данных. "Если нам придется столкнуться с крупным хищением данных, мы немедленно займемся вопросом, не следует ли что-то исправить в стандарте или что-нибудь добавить в него", — заявил он. 
Источник:  Pcweek.ru

Новости по теме

16:21, 16 Февраля 2017 Количество просмотров 179 просмотров
Платежная система «Мир» начинает продвигать собственный стандарт электронной коммерции
Новый стандарт электронной коммерции в рамках платежной системы «Мир» представил на 9-м Уральском форуме «Информационная безопасность финансовой сферы» Евгений Соловьев, заместитель директора Департамента архитектуры и разработки ПО АО НСПК.
12:01, 9 Февраля 2017 Количество просмотров 297 просмотров
Резидент «Сколково» нашел союзника в борьбе с контрафактом
Резидент ИТ-кластера Фонда «Сколково» международный проект AuthenticateIT и компания BrandSecurity разработают уникальный, основанный на самых передовых технологиях сервис в области защиты интеллектуальной собственности.
16:16, 2 Февраля 2017 Количество просмотров 265 просмотров
ФСБ: ущерб от хакерских атак в мире составляет до $1 трлн
В ведомстве отметили, что ущерб составляет от 0,4% до 1,5% мирового ВВП, и показатели имеют тенденцию к росту.
15:59, 25 Января 2017 Количество просмотров 284 просмотра
ESET: 40% уязвимостей Windows обнаружено в браузерах
ESET представила ежегодный отчет о кибератаках и уязвимостях в программных продуктах Microsoft Windows.
12:02, 24 Января 2017 Количество просмотров 262 просмотра
Check Point: вымогатель Locky ушел на новогодние каникулы
Снижение количества заражений Locky в декабре 2016 привело к его  исключению из топ-10 угроз впервые с июня 2016.

Наши видео

18-19 апреля 2017 г., г. Москва. Журнал «Retail & Loyalty» проводит 4-й Международный ПЛАС-Форум "Online & Offline Retail", посвященный анализу перспектив развития индустрии в России, странах СНГ и дальнего зарубежья


8332e6c91272f5c28733a9cb0aa0e76f.png
Информационный портал Retail & Loyalty
ул. Кржижановского, д. 29, корп. 5
Москва, 117218 Россия
Work +7 495 961 1065