Биз жөнүндөСтандарттарБлог ✦ ЖИ-баалооБаа алуу →

PCI DSS v4.0 — Негизги өзгөрүүлөр жана бизнесиңиз үчүн эмнени билдирет

PCI DSS v4.0 он жылдан ашык убакыттагы Төлөм карталары тармагы стандартына эң олуттуу жаңыртууну көрсөтөт. Мына соодагерлер жана кызмат провайдерлери шайкеш болуу үчүн эмнени билиши керек.

PCI DSS 8 мүн окуу

PCI DSS v4.0 жалпы кароо

Payment Card Industry Data Security Standard (PCI DSS) 4.0 версиясы PCI Security Standards Council (PCI SSC) тарабынан 2022-жылдын мартында жарыяланган. PCI DSS v3.2.1 2024-жылдын 31 мартында расмий түрдө бошотулуп, v4.0 стандарттын жалгыз активдүү версиясы болду.

Жаңыртуу төрт жылдан ашык тармактык пикирлерди чагылдырат жана төлөм картасы маалыматтарына карата өнүгүп жаткан коркунуч ландшафтына жооп берет.

Ыңгайлаштырылган ыкма

v4.0догу эң олуттуу жаңылыктардын бири — Ыңгайлаштырылган ыкма. Мурда PCI DSS уюмдардан ар бир талапты аныкталган, белгиленген ыкма аркылуу аткарууну талап кылган. Ыңгайлаштырылган ыкма уюмдарга талаптын коопсуздук максатын альтернативдүү контрол аркылуу аткарууга мүмкүндүк берет, алар эквиваленттүү же жакшыраак коопсуздук деңгээлине жеткенин көрсөтө алган шартта.

Күчөтүлгөн аутентификация талаптары

  • Көп факторлуу аутентификация (MFA) азыр карта ээсинин маалымат чөйрөсүнө (CDE) бардык кирүү үчүн талап кылынат, жөн гана алыстан кирүү үчүн эмес.
  • Сырсөз талаптары жаңыртылган: минималдуу узундугу 7ден 12 символго көбөйтүлгөн.
  • Кызмат аккаунтун башкаруу ачык камтылган.
  • Идентификацияны жана кирүүнү башкаруу контролдору кеминде алты айда бир каралып турушу керек.

Шифрлөө жана ачкыч башкаруу жаңыртуулары

  • Уюмдар ишенимдүү ачкычтардын жана сертификаттардын инвентаризациясын жүргүзүшү керек
  • Дисктин деңгээлиндеги шифрлөө негизги аккаунт номерлерин (PAN) окулбас кылуу үчүн жалгыз механизм катары кабыл алынбайт
  • Хэштөө талаптары тактыкка алынган: PAN окулбас кылуу үчүн хэштөө колдонулганда ачкычтуу криптографиялык хэштер (HMAC, CMAC) колдонулушу керек

Максаттуу тобокелдикти анализдөө

PCI DSS v4.0 максаттуу тобокелдикти анализдөө (TRA) формалдаштырылган концепциясын киргизет. Бир нече талаптар уюмдарга белгилүү аракеттердин жыштыгын (мисалы, журнал карап чыгуулары, алсыздыктарды сканерлөө) белгиленген графиктин ордуна документтелген тобокелдик анализине негизделип аныктоого мүмкүндүк берет.

Башка белгилүү өзгөрүүлөр

Электрондук коммерция жана браузер коопсуздугу: Жаңы талаптар HTTP баш маалыматтарына жана төлөм барагынын скрипттерине уруксатсыз өзгөртүүлөрдү аныктоо жана эскертүү механизмдерин камтыган төлөм барагынын бүтүндүгүн камтыйт.

Автоматташтырылган журнал карап чыгуу: Уюмдар журнал карап чыгууларын аткаруу үчүн автоматташтырылган механизмдерди ишке ашырышы керек.

Ички алсыздыктарды башкаруу: Аутентификацияланган ички алсыздыктарды сканерлөө азыр талап кылынат.

Шайкештик мөөнөттөрү

  • 2024-жылдын 31 марты: PCI DSS v3.2.1 бошотулду; v4.0 жалгыз активдүү стандарт болду
  • 2025-жылдын 31 марты: v4.0догу бардык келечекке багытталган талаптар милдеттүү болду

2026-жылдын башында бардык PCI DSS v4.0 талаптары, анын ичинде мурда келечекке багытталган пункттар, азыр толугу менен аткарылууда.

Уюмуңузду даярдоо

BALTUM төмөнкү кадамдарды сунуштайт:

  • PCI DSS v4.0 каршы деталдуу боштуктарды анализдөө жүргүзүңүз
  • CDE жана бардык административдик кирүү боюнча MFA жайгаштырууну приоритеттеңиз
  • Автоматташтырылган журнал карап чыгуу жана аутентификацияланган алсыздыктарды сканерлөө ишке ашырыңыз
  • Шифрлөө жана ачкыч башкаруу практикаларын карап чыгыңыз жана жаңыртыңыз
  • Электрондук коммерция чөйрөлөрү үчүн төлөм барагын мониторингдөөнү иштеп чыгыңыз

BALTUM бардык деңгээлдеги соодагерлерге жана кызмат провайдерлерине PCI DSS боштуктарын баалоо, ремедиация пландоо, саясат иштеп чыгуу жана үзгүлтүксүз шайкештик колдоосун берет.