Draft PCI DSS 4.0

Аватар пользователя Viktor Davydych
Автор: Davydych Viktor,
(0)
()

Все мы давно ждали стандарт PCI DSS 4.0.  И вот недавно появилась предварительная версия PCI DSS 4.0. Минимум год еще потребуется для согласования и официальной публикации стандарта. Потом конечно же будет переходной период, когда можно будет делать аудит еще по PCI DSS 3.2.1. 


Что же интересного можно найти в данном документе? 

Я лично ожидал от данной версии стандарта огромного количества изменений - требования к длинным PAN и BIN, большое количество требований к процессам разработки ПО, альтернативные компенсационные меры, работа с облачными системами и сервисами и много чего еще. 


А что же в реальности? 

В реальности в документе целых 46 новых требований. И ряд уточнений по разделам документа PCI DSS 3.2.1. Немало, но их уровень можно описать как “побелить- покрасить”. Где-то поменяли частоту выполнения требований, где-то скоуп оценки или контроля, где-то антивирус заменили на antimalware, брандмауеры и маршрутизаторы на средства управления сетевой безопасностью. Некоторые изменения коснулись отчетности для аудиторов. 

Это все конечно важно и хорошо, уточнения это отлично. Но где новая версия стандарта? 


Эти все улучшения и уточнения, это PCI DSS 3.3, но ни как не PCI DSS 4.0.

Понятно, что требования к разработке вынесли в отдельный стандарт. Но его скоуп применимости отличается от требований PCI DSS, а разработка зачастую присутствует в обоих случаях. 

Использование мобильных систем тоже регламентируется отдельно. И так далее.


Возможно, что за грядущий год еще будет много изменений до официальной публикации, но на данный момент это скорее похоже на обновление существующей версии стандарта, чем на его новую версию.  


x
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.