Стандарт PCI становится более безопасным

02.12.2014 | 01:32 Аналитика

Пять главных изменений в стандарте

В ноябре появился новый стандарт безопасности Payment Card Industry Data Security Standard — PCI DSS 3.0. Все нововведения касаются безопасности, а не совместимости.

Именно так говорится в новом докладе Джорджа Торстена, вице-президента компании Agiliance — производителя ПО управления рисками.

Ниже приведена пятерка изменений в стандарте, которые Джордж назвал главными:

Новый стандарт направлен на безопасность в режиме 24-7

Стандарт вступает в силу с 1 января. Несмотря на то, что некоторые из требований не являются обязательными до июля, компании не должны ждать до лета, или до следующего аудита, чтобы начать наводить порядок в своем доме.

Не имеет никакого смысла приводить системы безопасности в порядок только тогда, когда компанию ждет аудит. Мошенники, в конце концов, не собираю быть вежливым и ждать.

«Ежегодный аудит не касается безопасности, он проверяет соответствие стандартам», говорит Стивен Орфей, генеральный директор Совета по стандартам безопасности PCI (PCI Security Standards Council), который создал этот стандарт. «Это менталитет формального отношения. Давайте изменим его на мысли о безопасности и безопасность должна быть в режиме 24-7».

Повышение осведомленности вокруг паролей

Управление паролями является одним из слабых мест продавцов, согласно докладу Verizon в этом году.

Использование паролей по умолчанию, слабых паролей, повторного использования учетных данных для различных систем или пользователей, отсутствие двухфакторной аутентификации при ее необходимости — это все еще проблемы, присутствующие у многих компаний.

«Если вы оставили пароли по умолчанию — это огромная уязвимость», говорит Орфей. «У вас должны быть надежные пароли, вы должны изменить пароли, и убедитесь, что у вас ежедневно соблюдаются эти процедуры. Это то, что вы должны встроить в ДНК компании, и вы должны фанатично этому следовать».

Более эффективное управление рисками

«Множество атак происходит через бизнес-партнеров или подразделения», говорит Орфей.
В случае взлома Target, например, начальным вектором атаки была компания-подрядчик, занимающаяся отоплением, вентиляцией и кондиционированием.

В соответствии с новым стандартом, производители должны указать специфику услуг, которые они предоставляют, когда проходят проверку соответствия стандартам PCI. Так что компания должна подтвердить, что она на самом деле соответствует стандарту именно в той области деятельности, в которой оказывает услуги клиентам.

Совет по стандартам безопасности PCI создал список производителей программного обеспечения, которые уже были одобрены, но это не значит, что продавцы могут перестать беспокоиться о них. Они по-прежнему должны убедиться, что программное обеспечение, которое они используют, установлено правильно, и что производители на самом деле соблюдают свои обещания по безопасности.

«Вы должны подтвердить, что все было сделано правильно», сказал Орфей.

Новые требования к тестированию на проникновение

«Мы выступает за большее количество тестов на проникновение», говорит Орфей.

Ранее рекомендовалось ежегодное тестирование. В соответствии с новыми стандартами, это рекомендуется производить ежеквартально, сказал он.

Кроме того, новый стандарт содержит более подробную информацию о том, что должен включать тест на проникновение.

«Они внесли ясность и записали то, что прежде никогда не было записано», сказал Джефф Мэн, евангелист стандартов PCI безопасности из Tenable Network Security.

Поддержка большего количества систем

Ранее, продавцы могли игнорировать системы, которые не хранят данные карты или личную информацию.

Теперь стандарт PCI расширился и включает системы, которые могут на самом деле не хранить данные, но позволяют их просмотреть.

«Это приведет к более сложным оценкам соблюдения стандарта», сказал Джордж Торстен в докладе.