Блог

Календарный катаклизм, или почему PCI DSS обновится весной, а не осенью

Автор: Петр Шаповалов

18 февраля в блоге Совета PCI SSC появилась новая запись, которая изменяет привычный режим жизненного цикла PCI DSS. В записи блога говорится о том, что в первой половине 2016 года (ориентировочно, апрель—март) будет выпущена в свет новая версия стандартов PCI DSS, PCI PA-DSS (подробности Совет обещал сообщить ближе к дате релиза). Причины раннего релиза новой версии технический директор Совета Трой Лич (Troy Leach, CTO) обозначил следующие:

• пересмотренные недавно даты переходов на безопасные версии протокола TLS;

• индустрия признала текущую версию стандарта как достаточно зрелую и не требующую значительных изменений, как это было во время перехода с версии 2.0 на 3.0.

Трой также отметил, что не исключено, что стандарт будет изменен в будущем в случае необходимости противостоять новым угрозам безопасности. Таким образом, пока что Совет планирует выпустить только одну обновленную версию стандарта PCI DSS 3.2 в этом году. Ожидать нового релиза осенью (как это планировалось ранее) не придется.
Что же войдет в новую редакцию стандарта? Официально Совет подтвердил, что будут рассмотрены следующие темы:

• дополнительная много-факторная аутентификация для администраторов компонентов, обрабатывающих карточные данные;

• критерии оценки для поставщиков услуг по дополнительным требованиям Designated Entities Supplemental Validation (DESV);

• уточнения по маскированию полных номеров карт PAN при отображении;

• изменение дат по переходу на безопасные версии протокола TLS.

Версия 3.2 вступит в силу сразу же, как будет опубликована. При этом версия 3.1 будет еще действительна в течение 3-х месяцев. Это сделано для того, чтобы те, кто уже начал сертификацию по 3.1, смогли ее закончить. Для новых требований в стандарте, как обычно, сделают период введения их в разряд обязательных, который будет зависеть от даты публикации новой версии стандарта. До окончания такого периода все новые требования PCI DSS 3.2 будут лишь рекомендованы к исполнению.

0

Добавить комментарий