Какие изменения произошли в требованиях стандарта?

Какие изменения произошли в требованиях стандарта?

Какие изменения произошли в требованиях стандарта?

Собственно стандарт – его основной документ Requirements and Security Assessment Procedures - существенной модернизации не претерпел, изменения носят, в основном, косметический, уточняющий характер. Основные нововведения следующие: № п/п Изменения в PCI DSS 3.0
  1. Критичные аутентификационные данные нельзя сохранять после авторизации даже в случае, если в системе нет номера карты, к которой они относятся.
  2. Необходимо поддерживать в актуальном состоянии полный перечень компонентов информационной инфраструктуры платежных карт с описанием их свойств и функций.
  3. Если организация разрабатывает собственное ПО, то разработчики должны пройти обучение безопасным методам разработки, с упором на безопасную обработку данных платежных карт.
  4. Компоненты инфраструктуры платежных карт должны быть отделены от остальной инфраструктуры межсетевыми экранами, корректность настройки которых должна проверяться тестом на проникновение.
  5. Для компонентов инфраструктуры, которые считаются не подверженными действию вирусов, следует периодически проводить переоценку необходимости применения в их отношении средств антивирусной защиты.
  6. Определена методология выполнения тестов на проникновение (вводится в действие с 1 июля 2015 г.)
Пожалуй, наиболее существенным изменением является необходимость ежегодного выполнения теста на проникновение для проверки корректности настройки межсетевых экранов, отделяющих инфраструктуру платежных карт от прочей инфраструктуры. Более подробно об изменениях в стандарте можно прочитать в документе Summary of Changes from PCI DSS Version 2.0 to 3.0.