Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Опыт подготовки и прохождения аудита PCI DSS 3.1

Аватар пользователя Viktor Davydych
Автор: Davydych Viktor,
(0)
()
В этом месяце под моим руководством успешно завершился проект по подготовке и сертификации PCI DSS 3.1. И есть повод написать о практическом опыте несколько слов. Отличия от третей версии не столь значительные как при переходе от PCI DSS 2.0 к PCI DSS3.0, но они есть. 

В чем же они заключаются?

1. Как и в каждой новой версии стандарта PCI DSS переопределены понятия и есть перестановки в нумерации пунктов.
2. Одним из пунктов является признание протокола SSL небезопасным и запрет его использования.
3. Так же появилось требование о наличии матрицы распределения ответственности.
4. Изменились формы отчетности RoC и AoC (актуально для аудиторов).
5. Значительно увеличилось количество собираемых подтверждений выполнения требований стандарта (копий документов, отчетности, копий экрана).

В целом, по личному опыту могу сказать, что изменения в стандарте PCI DSS3.1 практически не повлияли на процесс подготовки компании к аудиту. Если, компания успешно прошла в прошлом году аудит по версии 3.0 (и даже по версии 2.0) каких-либо проблем у нее возникнуть не должно. Конечно в том случае, если сертифицированные процессы выполнялись на протяжении прошедшего года непрерывно, и не забывали о периодических задачах (ежедневных, еженедельных, ежеквартальных и прочих, которых требует стандарт и внутренние документы компании).


Что же касается компаний, которые впервые планируют проходить аудит безопасности PCI DSS, то для них обязательно соответствие версии 3.1 в полном объеме. В этом случае стоит помнить, что на подготовку и выполнение всех требований в зависимости от размера инфраструктуры подлежащей сертификации, количества задействованного персонала и других факторов необходимо планировать не менее одного, а скорее всего двух кварталов.


Со всеми изменениями в PCI DSS 3.1 вы можете ознакомиться на официальном портале PCI Council.



В случае вопросов, буду рад проконсультировать. 
Skypeviktor.davydych

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.