В июле 2014 года совет PCI SSC опубликовал обновленную концепцию поэтапного подхода к выполнению требований PCI DSS версии 3.0.
Основное назначение документа – предложить упорядоченный перечень мероприятий по приведению компании в соответствие требованиям PCI DSS. Документ предлагает 6 последовательных этапов работ в порядке уменьшения их приоритета:
- удаление критичных аутентификационных данных и ограничение хранения данных о владельцах платежных карт;
- защита периметра, внутренних и беспроводных сетей;
- обеспечение безопасности платежных приложений;
- управление и контроль доступа к сети и среде данных о владельцах платежных карт;
- защита хранимых данных о владельцах платежных карт;
- устранение оставшихся несоответствий.
В обновленной версии концепции учтены изменения, внесенные в стандарт PCI DSS версии 3.0, и повышен приоритет выполнения ряда требований стандарта (см. таблицу 1).
Таблица 1 – Сведения об изменениях приоритетов требований PCI DSS
|
Требование PCI DSS |
Было |
Стало |
|
6.7 Убедиться, что политики безопасности и процедуры разработки для обеспечения безопасности систем и приложений документированы, используются и известны всем заинтересованным лицам |
4 |
3 |
|
8.3 Для средств удаленного доступа сотрудников (включая пользователей и администраторов) и любых третьих лиц (включая доступ поставщиков для поддержки или техобслуживания) во внутреннюю сеть из внешней сети должен быть реализован механизм двухфакторной аутентификации |
4 |
2 |
|
8.5 Не использовать групповые, совместно используемые или общие идентификаторы, пароли или другие средства (методы) аутентификации …
8.5.1 Дополнительное требование для поставщиков услуг: поставщики услуг, имеющие удаленный доступ к помещению клиента (например, для поддержки систем или серверов кассовых терминалов), обязаны использовать уникальные учетные данные для аутентификации (например, пароль/парольная фраза) для каждого клиента |
4 |
2 |
|
9.3 Обеспечить контроль физического доступа персонала в области с ограниченным доступом, с учетом следующих требований: - доступ должен быть разрешен и предоставляться на основе должностных обязанностей субъекта; - доступ прекращается незамедлительно при прегрешении выполнения должностных обязанностей и физические средства для доступа, такие как ключи, карты доступа, и т.д., возвращены или заблокированы |
5 |
2 |
|
12.5 Определенному сотруднику или группе сотрудников должны быть назначены следующие обязанности в области управления информационной безопасностью.
12.5.3 Разработка, документирование и распространение процедур реагирования на инциденты и сообщений о них, чтобы гарантировать быструю и эффективную обработку всех ситуаций |
4 |
2 |
|
12.9 Дополнительное требование к поставщикам услуг: Поставщики услуг должны в письменной форме подтверждать своим клиентам, что они несут ответственность за безопасность данных владельцев платежных карт, которыми они обладают или иных образом хранят, обрабатывают или передают по поручению клиентов, или с учетом того, что они могут повлиять на безопасность среды данных о владельцах платежных карт |
4 |
2 |
|
12.10 Должен быть внедрен план реагирования на инциденты. Организация должна быть готова немедленно отреагировать на нарушение в работе системы. (включая 12.10.1 – 12.10.6) |
4 |
2 |
В таблице 2 приведен поэтапный план приведения в соответствие с PCI DSS версии 3.0 для организаций, сертифицированных по предыдущей версии стандарта.
|
Таблица 2 – План поэтапного внедрения новых требований PCI DSS версии 3.0 |
|||
|
№ |
Этап |
Измененное / новое требование PCI DSS |
|
|
Удаление критичных аутентификационных данных и ограничение хранения данных владельцев платежных карт |
1.1 Разработать и внедрить стандарт конфигурации межсетевых экранов и маршрутизаторов, который включает: 1.1.3 Актуальную схему потоков данных владельцев платежных карт в системах и компьютерной сети |
||
|
12.2 Внедрить процесс оценки рисков, который: - проводится как минимум ежегодно и в случае существенных изменений условий функционирования (например, изменение собственника, слияние, переезд и т.д.); - предусматривает идентификацию критичных активов, угроз и уязвимостей; - предусматривает наличие документированных результатов |
|||
|
Защита периметра, внутренних и беспроводных сетей |
2.4 Наличие актуального перечня компонентов системы, входящих в область PCI DSS (с описанием функций/назначения каждого из них) |
||
|
5.1 Установить антивирусное ПО на всех системах, которые подвержены воздействию вредоносного ПО. 5.1.2 Для систем, которые обычно считаются не подверженными воздействию вредоносного ПО, проводить периодическую оценку, для идентификации и оценки изменяющихся угроз, вызванных вредоносным ПО, чтобы удостовериться, что для данных систем не требуется антивирусная защита |
|||
|
5.3 Обеспечить работу антивирусных средств в активном состоянии и невозможность их отключения или изменения пользователем, кроме случаев, когда такое отключение делается на ограниченное время, и санкционировано руководством |
|||
|
9.9 Защитить устройства, которые считывают данные платежных карт при непосредственном физическом взаимодействии с картой, от внесения в них изменений или подмены, в том числе: 9.9.1 иметь и поддерживать в актуальном состоянии перечень таких устройств; 9.9.2 осуществлять периодический осмотр устройств, с целью выявления следов внесения в них изменений или подмены; 9.9.3 проводит обучение персонала с целью информирования о возможности внесения изменения или подмены устройств |
|||
|
11.3 Внедрить методологию тестирования на проникновение, которая включает: - принятые в отрасли методы тестирования на проникновение (например, NIST SP 800-115); - все критические и пограничные системы, входящие в CDE; - тестирование как снаружи, так и изнутри сети; - тестирование для подтверждения корректности сегментации сети и механизмов, использованных доля сокращения области распространения требований PCI DSS; - определение тестов на проникновение на уровне приложений, с учетом как минимум уязвимостей, перечисленных в требовании 6.5; - определение тестов на проникновение на сетевом уровне, включая компоненты, которые обеспечивают функционирование сети, а также операционных систем; - включение анализа и рассмотрения угроз и уязвимостей, которые были обнаружены за последние 12 месяцев; - определение сроков хранения результатов тестирования и результатов внедрения корректирующих мер |
|||
|
11.3 Внедрить методологию тестирования на проникновение. 11.3.4 В случае использования сегментации для изоляции CDE от других сетей проводить тестирование на проникновение как минимум ежегодно и после любых изменений в методах/механизмах сегментации, чтобы обеспечить работоспособность и эффективность сегментации для изоляции систем, входящих в область требований PCI DSS, от других систем |
|||
|
12.8 Разработать и внедрить политики и процедуры управления отношениями с поставщиками услуг …, в том числе: 12.8.5 Вести информацию о том, какие требования PCI DSS реализуются каждым из поставщиками услуг, а какие — организацией |
|||
|
Обеспечение безопасности платежных приложений |
|
||
|
6.5. В процессе разработки ПО принять меры по недопущению уязвимостей кода, включающие: обучение персонала… и использование инструкций по разработке приложений методами безопасного программирования. 6.5.10 Обеспечить защиту от ошибок при аутентификации и управлении сессиями (для веб-приложений и интерфейсов приложений) |
|||
|
Управление и контроль доступа к сети и среде данных владельцев платежных карт |
8.2 В дополнение к присвоению уникального идентификатора обеспечить надлежащее управление аутентификацией пользователей для пользователей не являющихся клиентами и администраторов … 8.2.3 Пароли / ключевые фразы должны удовлетворять следующим критериям: - минимальная длина не менее 7 символов; - содержат как цифровые, так и буквенные символы. Либо пароли / ключевые фраз должны обладать сложностью и стойкостью эквивалентной указанным выше параметрам |
||
|
8.6 При использовании других механизмов аутентификации данные механизмы должны быть назначены с учетом следующего: - механизм аутентификации должен быть назначен отдельной учетной записи и не должен использоваться для доступа к нескольким учетным записям; - механизмы физического и/или логического контроля должны использоваться, чтобы обеспечить возможность использования такого механизма аутентификации для получения доступа только для соответствующей учетной записи |
|||
|
8.7 Убедиться, что политики безопасности и процедуры идентификации и аутентификации документированы, используются и известны всем заинтересованным лицам. |
|||
|
10.2. Обеспечить автоматическое ведение журналов аудита и возможность реконструкции следующих событий: 10.2.5 Использование или изменение механизма идентификации и аутентификации, включая создание новой учетной записи, повышение привилегий, а также всех изменение, добавление, удаление учетных записей с правами администратора; 10.2.6 Инициализация, выключение или остановка протоколирования событий |
|||
|
11.1 Внедрить процесс обнаружения беспроводных точек доступа и осуществлять ежеквартальное обнаружение и идентификацию авторизованных и неавторизованных точек доступа. В том числе: 11.1.1 вести перечень авторизованных точек доступа, включая документальное подтверждение требований бизнеса; 11.1.2 внедрить процедуру реагирования на инциденты, для случая обнаружения несанкционированных точек доступа |
|||
|
11.5 Внедрить механизмы обнаружения изменений … и настроить ПО для контроля изменений на контроль критичных файлов как минимум раз в неделю. 11.5.1 Внедрить процесс реагирования на все уведомления, сформированные системой обеспечения целостности |
|||
|
11.6 Убедиться, что политики безопасности и процедуры мониторинга и проверки безопасности документированы, используются и известны всем заинтересованным лицам |
|||
|
Защита хранимых данных владельцев платежных карт |
3.7 Убедиться, что политики безопасности и процедуры защиты данных владельцев платежных карт документированы, используются и известны всем заинтересованным лицам |
||