Carding Forum
Professional
PCI DSS v4.0 - это новейший стандарт безопасности платежных карт. Вот что вам нужно знать об этой обновленной финансовой защите.
В этой статье вы найдете
Данные платежных карт миллионов потребителей были скомпрометированы в руках киберпреступников, при этом организации платят высокую цену как в денежном, так и в репутационном отношении. Результаты исследования Statista показали, что корпоративные серверы наиболее подвержены утечке данных (49%), в то время как стоимость киберпреступности в Великобритании составляет 4,67 миллиона долларов.
Ответом на эти разрушительные явления должны стать надежные системы резервного копирования, которые защищают данные в платежной экосистеме. В этом случае справедливо утверждать, что протокол соответствия, называемый стандартом безопасности данных индустрии платежных карт (PCI DSS), спасает финансовые учреждения, поскольку помогает им опережать мошенничество. Спустя 15 с лишним лет с момента внедрения стандарта PCI DSS v1.0 для учета постоянно развивающихся технологий и киберрисков скоро выйдет PCI DSS v4.0 - 10-я версия стандарта.
Однако запуск версии 4 стандарта PCI DSS стал настоящим испытанием для американских горок. В то время как обновленные правила должны были быть опубликованы в середине 2021 года, дата выпуска еще не определена. Если вы знакомы с PCI DSS v3.2.1 и ваше сердце ёкнуло, когда вы услышали, что разрабатывается новый, будьте уверены, что 12 основных требований остаются неизменными, но улучшенными. Чтобы еще больше развеять опасения по поводу пересмотренного стандарта, любые дополнительные требования к аутентификации будут актуализированы в будущем, когда он будет запущен. Таким образом, у продавцов и заинтересованных сторон будет достаточно времени, чтобы настроить и внедрить новые процессы до введения в действие стандарта PCI DSS v4.0.
Суть в том, что новая версия будет расширять требования к нескольким новым областям безопасности, чтобы отразить последние отраслевые передовые практики и отзывы. Пока мы ждем выхода рассматриваемого стандарта, давайте освежим наши воспоминания об основах того, что значит быть совместимым с PCI, а также рассмотрим изменения, которые PCI DSS 4 принесет в платежную индустрию.
Стандарт был разработан в 2006 году Советом по стандартам безопасности PCI (PCI SSC), независимым органом, состоящим из компаний-производителей карт (Visa, American Express, Mastercard, JCB и Discover). Основной целью по-прежнему является мониторинг стандартов безопасности данных для каждой организации, которая обрабатывает конфиденциальную информацию о платежных картах. Полное руководство по PCI DSS можно найти здесь.
Разработанный для защиты данных учетной записи от мошенничества, PCI DSS, несомненно, не подлежит обсуждению для любой компании, которая принимает платежи по картам. Несоблюдение может привести к утечке данных или штрафам. Фактически, отчет Verizon о безопасности платежей, опубликованный в 2019 году, показал, что колоссальные 36,7% компаний по всему миру не соблюдают стандарт PCI DSS. В результате они рисковали раскрыть конфиденциальные данные клиентов и понести дорогостоящие штрафы в случае взлома.
Имейте в виду, что помимо требований продавца, PCI SSC определяет дополнительные политики, связанные с разработчиками приложений и программного обеспечения, такие как Стандарт безопасности данных платежных приложений (PA DSS). Существуют также санкции в отношении безопасности транзакций с помощью PIN-кода (PTS) для компаний, которые создают устройства для транзакций по кредитным картам.
С самого начала требования PCI DSS были направлены на то, чтобы помочь поставщикам услуг создавать подключаемые стандарты безопасности и аутентификации, чтобы они соблюдались круглый год, а не один раз во время ежегодных оценок.
Этой цели будет служить обновленный стандарт, гарантируя, что:
PCI DSS версии 4.0 - график разработки.
Все началось в 2019 году. PCI SSC провел два отдельных запроса на комментарии (RFC) для PCI DSS v4.0, оба из которых были завершены в конце 2020 года. Было собрано более 13 000 комментариев от сообщества платежных систем и квалифицированных экспертов по безопасности (QSA). ), последний PCI DSS RFC создал черновик версии 4.0.
По словам Лорен Холлоуэй, директора по стандартам безопасности данных, PCI DSS v3.2.1 будет работать в обычном режиме в течение 18 месяцев до тех пор, пока все материалы PCI DSS v4.0, включая сам стандарт и сопроводительные документы (например, SAQ, ROC и AOC), не будут обработаны. дополнительные RFC и валидационные документы, а также обучение - становятся общедоступными. Это не только делает более плавным переходный период для вывода стандарта PCI DSS v3.2.1 из эксплуатации к первому кварталу 2024 года, но и дает заинтересованным сторонам возможность ознакомиться с новыми элементами управления безопасностью, обновить свои формы отчетности и скорректировать бюджет.
Перенесемся на сегодняшний день, PCI SSC объявил о предварительном периоде предварительного просмотра проекта стандарта на начало 2022 года. Этот проект будет направлен участвующим организациям, квалифицированным специалистам по оценке безопасности (QSA) и утвержденным поставщикам сканирования (ASV). Холлоуэй добавил, что обновления сопроводительных документов, то есть опросных листов, глоссария PCI DSS, шаблона отчета о соответствии (ROC) и приоритетного подхода, также будут включены в цикл пересмотра.
Как упоминалось выше, 12 требований к аутентификации PCI DSS, перечисленных в версии 3.2.1, практически не изменятся с принятием PCI DSS 4.0. Поэтому дело в нескольких обновлениях и дополнительных требованиях.
Эта настраиваемая альтернатива проверки будет лучше определять результаты безопасности, привязанные к каждому требованию, позволяя организациям использовать новые технологии и адаптировать свои средства управления безопасностью данных в зависимости от цели требований. После того, как организация определит меры безопасности для данной цели PCI, QSA рассмотрит документацию, проведет анализ рисков и протестирует каждый элемент управления с индивидуальной реализацией для проверки эффективности. Чтобы уточнить, предписывающий подход не будет постепенно отменен со стандартом 4.0. Скорее, его по-прежнему можно выбрать в новом индивидуальном решении в отчете о соответствии (ROC).
Стоит отметить, что черновик PCI DSS v4.0 поддерживает использование различных технологий (например, услуг облачного хостинга и бессерверных вычислений) для формулировки требований в соответствии с достижениями ИТ.
На основании рекомендаций Совета PCI, дополнительные обновления PCI DSS v4.0 будут включать:
Это основные области развития, в которых будет реализована аутентификация:
Обычно мошенники проникают в сеть с вредоносными кодами и получают личную информацию во время передачи. Переписанный стандарт PCI DSS предоставит системы резервного копирования и аварийного восстановления, которые защитят целостность и процветание бизнеса.
Кроме того, в тестовые документы включены более подробные объяснения по отбору образцов и определению объема работ. Дополнительное руководство по отбору выборки будет дано оценщикам, чтобы они разрешили, чтобы эти меры контроля применялись последовательно для всей совокупности платежей.
Существует целый ряд действий, которые вам необходимо предпринять, если вы продавец, стремящийся к созданию системы оплаты без мошенничества. Совместимость с PCI и работа с PSP, которая расскажет вам, как создать среду, в которой клиенты будут чувствовать себя в безопасности при совершении платежа, - это хорошее место для начала. Emerchantpay приходит на помощь! Emerchantpay - ведущий глобальный поставщик платежных услуг для онлайн-платежей, платежей в приложениях и в магазинах - как на местном, так и на международном уровне. Наш широкий спектр платежных решений доступен через простую интеграцию, предоставляя множество функций, таких как глобальный эквайринг, альтернативные способы оплаты, мошенничество и управление рисками, а также оптимизацию производительности. Мы призываем наших продавцов разрабатывать беспрепятственные и выгодные платежные системы для своих потребителей, и наша служба поддержки всегда готова помочь в этом.
В этой статье вы найдете
- Соответствие PCI 101 - резюме
- Что такое соответствие PCI и кто его разработал?
- Почему обновление?
- Когда выйдет PCI DSS 4.0?
- PCI DSS 3 против 4 - что нового?
- Передовые технологии и «индивидуальная реализация»
- Аутентификация
- Шифрование
- Мониторинг
- Тестирование
- Сформируйте будущее своей платежной инфраструктуры
Данные платежных карт миллионов потребителей были скомпрометированы в руках киберпреступников, при этом организации платят высокую цену как в денежном, так и в репутационном отношении. Результаты исследования Statista показали, что корпоративные серверы наиболее подвержены утечке данных (49%), в то время как стоимость киберпреступности в Великобритании составляет 4,67 миллиона долларов.
Ответом на эти разрушительные явления должны стать надежные системы резервного копирования, которые защищают данные в платежной экосистеме. В этом случае справедливо утверждать, что протокол соответствия, называемый стандартом безопасности данных индустрии платежных карт (PCI DSS), спасает финансовые учреждения, поскольку помогает им опережать мошенничество. Спустя 15 с лишним лет с момента внедрения стандарта PCI DSS v1.0 для учета постоянно развивающихся технологий и киберрисков скоро выйдет PCI DSS v4.0 - 10-я версия стандарта.
Однако запуск версии 4 стандарта PCI DSS стал настоящим испытанием для американских горок. В то время как обновленные правила должны были быть опубликованы в середине 2021 года, дата выпуска еще не определена. Если вы знакомы с PCI DSS v3.2.1 и ваше сердце ёкнуло, когда вы услышали, что разрабатывается новый, будьте уверены, что 12 основных требований остаются неизменными, но улучшенными. Чтобы еще больше развеять опасения по поводу пересмотренного стандарта, любые дополнительные требования к аутентификации будут актуализированы в будущем, когда он будет запущен. Таким образом, у продавцов и заинтересованных сторон будет достаточно времени, чтобы настроить и внедрить новые процессы до введения в действие стандарта PCI DSS v4.0.
Суть в том, что новая версия будет расширять требования к нескольким новым областям безопасности, чтобы отразить последние отраслевые передовые практики и отзывы. Пока мы ждем выхода рассматриваемого стандарта, давайте освежим наши воспоминания об основах того, что значит быть совместимым с PCI, а также рассмотрим изменения, которые PCI DSS 4 принесет в платежную индустрию.
Соответствие PCI 101 - резюме
Давайте разберемся в оперативной и технической неразберихе с помощью некоторых вопросов, связанных с PCI: «Что», «Кто», «Почему» и «Когда».Что такое соответствие PCI и кто его разработал?
Структура соответствия защищает предприятия во время хранения / токенизации, обработки и передачи данных о держателях карт. Кроме того, PCI DSS описывает меры предосторожности по обнаружению и предотвращению потенциальных нарушений в среде данных о держателях карт (CDE). Это также относится к PAN - номеру основного счета, напечатанному на лицевой стороне кредитной или дебетовой карты.Стандарт был разработан в 2006 году Советом по стандартам безопасности PCI (PCI SSC), независимым органом, состоящим из компаний-производителей карт (Visa, American Express, Mastercard, JCB и Discover). Основной целью по-прежнему является мониторинг стандартов безопасности данных для каждой организации, которая обрабатывает конфиденциальную информацию о платежных картах. Полное руководство по PCI DSS можно найти здесь.
Разработанный для защиты данных учетной записи от мошенничества, PCI DSS, несомненно, не подлежит обсуждению для любой компании, которая принимает платежи по картам. Несоблюдение может привести к утечке данных или штрафам. Фактически, отчет Verizon о безопасности платежей, опубликованный в 2019 году, показал, что колоссальные 36,7% компаний по всему миру не соблюдают стандарт PCI DSS. В результате они рисковали раскрыть конфиденциальные данные клиентов и понести дорогостоящие штрафы в случае взлома.
Имейте в виду, что помимо требований продавца, PCI SSC определяет дополнительные политики, связанные с разработчиками приложений и программного обеспечения, такие как Стандарт безопасности данных платежных приложений (PA DSS). Существуют также санкции в отношении безопасности транзакций с помощью PIN-кода (PTS) для компаний, которые создают устройства для транзакций по кредитным картам.
Почему обновление?
По мере развития технологий растет и ландшафт угроз. Более чем когда-либо профессионалы в области кибербезопасности и соблюдения нормативных требований ищут способы модернизации инфраструктуры и усиления защиты от программ-вымогателей и цифровых атак.С самого начала требования PCI DSS были направлены на то, чтобы помочь поставщикам услуг создавать подключаемые стандарты безопасности и аутентификации, чтобы они соблюдались круглый год, а не один раз во время ежегодных оценок.
Этой цели будет служить обновленный стандарт, гарантируя, что:
- Основа для защиты платежных данных сохраняется.
- Продвигается безопасность как непрерывный процесс.
- Организации гибки, используют различные методологии и технологии.
- Расширены методы и процедуры валидации.
Когда выйдет PCI DSS 4.0?
На момент написания этой статьи кажется, что PCI SSC завершит версию 4.0 где-то в первом квартале 2022 года, но дата вступления в силу этих требований не будет установлена до 2025 года. А пока давайте пройдемся по переулку памяти и определим основные моменты график PCI DSS 4.0.
PCI DSS версии 4.0 - график разработки.
Все началось в 2019 году. PCI SSC провел два отдельных запроса на комментарии (RFC) для PCI DSS v4.0, оба из которых были завершены в конце 2020 года. Было собрано более 13 000 комментариев от сообщества платежных систем и квалифицированных экспертов по безопасности (QSA). ), последний PCI DSS RFC создал черновик версии 4.0.
По словам Лорен Холлоуэй, директора по стандартам безопасности данных, PCI DSS v3.2.1 будет работать в обычном режиме в течение 18 месяцев до тех пор, пока все материалы PCI DSS v4.0, включая сам стандарт и сопроводительные документы (например, SAQ, ROC и AOC), не будут обработаны. дополнительные RFC и валидационные документы, а также обучение - становятся общедоступными. Это не только делает более плавным переходный период для вывода стандарта PCI DSS v3.2.1 из эксплуатации к первому кварталу 2024 года, но и дает заинтересованным сторонам возможность ознакомиться с новыми элементами управления безопасностью, обновить свои формы отчетности и скорректировать бюджет.
Перенесемся на сегодняшний день, PCI SSC объявил о предварительном периоде предварительного просмотра проекта стандарта на начало 2022 года. Этот проект будет направлен участвующим организациям, квалифицированным специалистам по оценке безопасности (QSA) и утвержденным поставщикам сканирования (ASV). Холлоуэй добавил, что обновления сопроводительных документов, то есть опросных листов, глоссария PCI DSS, шаблона отчета о соответствии (ROC) и приоритетного подхода, также будут включены в цикл пересмотра.
PCI DSS 3 против 4 - что нового?
Хотя стандарт еще не доработан, Совет поделился с общественностью подробностями о том, чего ожидать, когда новая версия вступит в силу. Давайте углубимся в сводку изменений стандарта PCI DSS 4.0, чтобы выяснить, чем эти изменения отличаются от версии 3.2.1.Как упоминалось выше, 12 требований к аутентификации PCI DSS, перечисленных в версии 3.2.1, практически не изменятся с принятием PCI DSS 4.0. Поэтому дело в нескольких обновлениях и дополнительных требованиях.
Передовые технологии и «индивидуальная реализация»
Возможно, самое большое изменение, связанное с PCI DSS v4.0, - это то, как организации будут соблюдать стандарты соответствия и безопасности. В отличие от предписывающего характера стандарта PCI DSS v3.2.1, который диктовал, как компании могут достичь соответствия, PCI DSS 4 обеспечивает гибкость. Иначе говоря, вместо того, чтобы навязывать компенсирующий контроль - сложная и трудоемкая процедура - для предприятий, которые не соответствуют критериям соответствия, PCI DSS 4.0 предлагает вариант индивидуального внедрения.Эта настраиваемая альтернатива проверки будет лучше определять результаты безопасности, привязанные к каждому требованию, позволяя организациям использовать новые технологии и адаптировать свои средства управления безопасностью данных в зависимости от цели требований. После того, как организация определит меры безопасности для данной цели PCI, QSA рассмотрит документацию, проведет анализ рисков и протестирует каждый элемент управления с индивидуальной реализацией для проверки эффективности. Чтобы уточнить, предписывающий подход не будет постепенно отменен со стандартом 4.0. Скорее, его по-прежнему можно выбрать в новом индивидуальном решении в отчете о соответствии (ROC).
Стоит отметить, что черновик PCI DSS v4.0 поддерживает использование различных технологий (например, услуг облачного хостинга и бессерверных вычислений) для формулировки требований в соответствии с достижениями ИТ.
На основании рекомендаций Совета PCI, дополнительные обновления PCI DSS v4.0 будут включать:
Аутентификация
В новой версии особое внимание уделяется паролям NIST и руководству по многофакторной аутентификации. Хотя приоритетом является установление более строгих стандартов аутентификации для доступа к логинам и обработки транзакций, PCI SSC также взаимодействует с Mastercard, Europay и Visa (EMVco), чтобы применить 3DS Core Security Standard во время авторизации транзакций.Это основные области развития, в которых будет реализована аутентификация:
- Длина пароля будет увеличена с 7 до 15 символов, состоящих из специального символа в дополнение к цифрам и буквам.
- Пароли / парольные фразы для учетных записей необходимо менять не реже одного раза в 12 месяцев или при подозрении на нарушение.
- Права доступа должны пересматриваться не реже одного раза в шесть месяцев.
- Учетные записи поставщиков или третьих лиц могут быть доступны только по мере необходимости и контролироваться при использовании.
Шифрование
Увеличилась потребность в расширении масштабов шифрования карт, когда данные хранятся в электронной таблице или перемещаются, передаваясь по сетям. Неудивительно, что в 2020 году количество фишинговых атак увеличилось до 46%, что представляет собой ощутимую угрозу для финансовых учреждений.Обычно мошенники проникают в сеть с вредоносными кодами и получают личную информацию во время передачи. Переписанный стандарт PCI DSS предоставит системы резервного копирования и аварийного восстановления, которые защитят целостность и процветание бизнеса.
Мониторинг
PCI DSS 4 может больше ориентироваться на меры, основанные на оценке риска. Платформа безопасности программного обеспечения (SSF), которая заменит Стандарт безопасности данных платежных приложений (PA DSS), будет гарантировать, что среда данных о держателях карт включает технологические усовершенствования (например, применение средств обнаружения сетей и конечных точек нового поколения). Можно ожидать, что у продавцов и поставщиков платежных услуг будут внедрены процессы для улучшения своих информационных систем и противодействия попыткам мошенничества.Тестирование
Критическое контрольное тестирование может проводиться чаще при использовании PCI DSS v4.0. Хотя требования дополнительной проверки для назначенных организаций (DESV) не являются чем-то новым для PCI DSS, ранее они были обязательством только для компаний, которые пострадали от утечки данных. В этой новой версии компаниям может быть предложено сначала выполнить это требование, чтобы обеспечить соответствие требованиям PCI.Кроме того, в тестовые документы включены более подробные объяснения по отбору образцов и определению объема работ. Дополнительное руководство по отбору выборки будет дано оценщикам, чтобы они разрешили, чтобы эти меры контроля применялись последовательно для всей совокупности платежей.
Тренинг по вопросам безопасности
В требованиях к обучению конечных пользователей будут подробно описаны текущие угрозы и уязвимости, которые могут повлиять на безопасность CDE, включая фишинг и социальную инженерию.Сформируйте будущее своей платежной инфраструктуры
Мы живем во взаимосвязанном мире, где информация широко распространяется в международном масштабе. Для безопасной конфигурации сети организации должны устранять свои слабые стороны, применяя механизмы безопасности и стратегии снижения рисков. Несоблюдение стандарта PCI DSS следует за эффектом домино - отсутствием доверия со стороны потребителей, что, в свою очередь, приводит к снижению продаж, конверсий и доходов.Существует целый ряд действий, которые вам необходимо предпринять, если вы продавец, стремящийся к созданию системы оплаты без мошенничества. Совместимость с PCI и работа с PSP, которая расскажет вам, как создать среду, в которой клиенты будут чувствовать себя в безопасности при совершении платежа, - это хорошее место для начала. Emerchantpay приходит на помощь! Emerchantpay - ведущий глобальный поставщик платежных услуг для онлайн-платежей, платежей в приложениях и в магазинах - как на местном, так и на международном уровне. Наш широкий спектр платежных решений доступен через простую интеграцию, предоставляя множество функций, таких как глобальный эквайринг, альтернативные способы оплаты, мошенничество и управление рисками, а также оптимизацию производительности. Мы призываем наших продавцов разрабатывать беспрепятственные и выгодные платежные системы для своих потребителей, и наша служба поддержки всегда готова помочь в этом.
