Біз туралыСтандарттарБлог✦ ЖИ бағалауБаға алу →

PCI DSS v4.0 — негізгі өзгерістер және бизнесіңіз үшін не білдіреді

PCI DSS v4.0 он жылдан астам уақыттағы Төлем карталары индустриясы стандартына ең маңызды жаңарту. Міне, сауда компаниялар мен қызмет провайдерлері сәйкес болу үшін нені білуі керек.

PCI DSS8 мин оқу

PCI DSS v4.0 шолу

Төлем карталары индустриясының деректер қауіпсіздігі стандартының (PCI DSS) 4.0 нұсқасы PCI Қауіпсіздік стандарттары кеңесі (PCI SSC) тарапынан 2022 жылдың наурызында жарияланды. PCI DSS v3.2.1 2024 жылдың 31 наурызында ресми түрде шығарылды, v4.0-ді стандарттың жалғыз белсенді нұсқасына айналдырды.

Теңшелген тәсіл

v4.0-дегі ең маңызды жаңалықтардың бірі — Теңшелген тәсіл. Бұрын PCI DSS ұйымдардан әр талапты белгіленген, анықталған әдіс арқылы орындауды талап еткен. Теңшелген тәсіл ұйымдарға балама бақылау пайдалана отырып талаптың қауіпсіздік мақсатын орындауға мүмкіндік береді, олар баламалы немесе жақсырақ қауіпсіздік деңгейіне қол жеткізетінін көрсете алса.

Жетілдірілген аутентификация талаптары

  • Көп факторлы аутентификация (MFA) енді тек қашықтан қол жеткізу үшін емес, карта ұстаушы деректер ортасына (CDE) барлық қол жеткізу үшін талап етіледі.
  • Құпиясөз талаптары жаңартылды: ең аз ұзындық 7-ден 12 таңбаға дейін артады.
  • Қызмет тіркелгісін басқару нақты қарастырылады.
  • Идентификация және қол жеткізуді басқару бақылаулары кемінде алты айда бір рет қаралуы тиіс.

Шифрлау және кілт басқару жаңартулары

  • Сенімді кілттер мен сертификаттардың тізімдемесін жүргізу талабы
  • Диск деңгейіндегі шифрлау PAN-ды оқылмайтын етудің жалғыз механизмі ретінде қабылданбайды
  • Хэштеу талаптары нақтыландырылды: кілтті криптографиялық хэштер (HMAC, CMAC) пайдаланылуы тиіс

Мақсатты тәуекелді талдау

PCI DSS v4.0 екі контекстте қолданылатын мақсатты тәуекелді талдау (TRA) формализацияланған тұжырымдамасын енгізеді: теңшелген тәсіл үшін TRA және икемді талаптар үшін TRA. Мақсатты тәуекелді талдаулар құжатталуы, басшылықпен қаралуы және кемінде 12 айда бір рет жаңартылуы тиіс.

Басқа елеулі өзгерістер

Электрондық коммерция және браузер қауіпсіздігі: Төлем бетінің тұтастығына қатысты жаңа талаптар, оның ішінде HTTP тақырыптары мен төлем беті скрипттеріне рұқсатсыз өзгерістерді анықтау және ескерту механизмдері.

Автоматтандырылған журнал шолу: Ұйымдар журналдарды шолуды орындау үшін автоматтандырылған механизмдерді іске асыруы тиіс.

Ішкі осалдықтарды басқару: Аутентификацияланған ішкі осалдықтарды сканерлеу қазір талап етіледі.

Сәйкестік мерзімдері

  • 2024 жылдың 31 наурызы: PCI DSS v3.2.1 шығарылды; v4.0 жалғыз белсенді стандартқа айналды
  • 2025 жылдың 31 наурызы: v4.0-дегі болашақ мерзімді талаптардың барлығы міндетті болды

Ұйымыңызды дайындау

BALTUM көшуді басқаратын ұйымдарға келесі қадамдарды ұсынады:

  • PCI DSS v4.0-ге қарсы толық олқылықтарды талдау жүргізу
  • CDE және барлық әкімшілік қол жеткізу бойынша MFA орнатуға басымдық беру
  • Автоматтандырылған журнал шолу мен аутентификацияланған осалдықтарды сканерлеуді іске асыру
  • Шифрлау және кілт басқару тәжірибелерін қайта қарау және жаңарту
  • Электрондық коммерция орталары үшін төлем бетін мониторингтеуді әзірлеу

BALTUM барлық деңгейдегі сауда компаниялар мен қызмет провайдерлеріне PCI DSS олқылықтарды бағалау, түзету жоспарлау, саясатты әзірлеу және үздіксіз сәйкестік қолдауын ұсынады.