О насСтандартыБлог ✦ ИИ-оценкаПолучить предложение →

PCI DSS v4.0 — Ключевые изменения и что они значат для вашего бизнеса

PCI DSS v4.0 представляет собой наиболее значительное обновление стандарта индустрии платёжных карт за более чем десятилетие. Вот что мерчантам и сервис-провайдерам необходимо знать для сохранения соответствия.

PCI DSS 8 мин чтения

Обзор PCI DSS v4.0

Стандарт безопасности данных индустрии платёжных карт (PCI DSS) версии 4.0 был опубликован Советом по стандартам безопасности PCI (PCI SSC) в марте 2022 года, а версия 4.0.1 вышла в июне 2024 года с незначительными уточнениями. PCI DSS v3.2.1 был официально отозван 31 марта 2024 года, что сделало v4.0 единственной действующей версией стандарта.

Обновление отражает более четырёх лет обратной связи от отрасли и учитывает эволюцию ландшафта угроз для данных платёжных карт. Ключевые цели включают продвижение безопасности как непрерывного процесса, повышение гибкости для организаций в достижении результатов безопасности и совершенствование методов и процедур валидации.

Индивидуальный подход (Customised Approach)

Одно из наиболее значимых нововведений v4.0 — Индивидуальный подход (Customised Approach). Исторически PCI DSS требовал от организаций выполнения каждого требования через предписанный, определённый метод. Индивидуальный подход позволяет организациям достигать цели безопасности требования с помощью альтернативного контроля, при условии, что они могут продемонстрировать эквивалентный или лучший уровень безопасности.

Это отличается от существующего механизма компенсирующих контролей. В рамках индивидуального подхода организации должны:

  • Задокументировать индивидуальный контроль и то, как он достигает заявленной цели
  • Провести целевой анализ рисков для оценки эффективности контроля
  • Пройти тестирование квалифицированным экспертом по безопасности (QSA) для валидации подхода

Индивидуальный подход предназначен для зрелых организаций с надёжными возможностями управления рисками. Это не упрощение; как правило, он требует больше документации и более строгой оценки, чем определённый подход.

Усиленные требования к аутентификации

PCI DSS v4.0 значительно ужесточает контроли аутентификации:

  • Многофакторная аутентификация (MFA) теперь требуется для всех видов доступа к среде данных держателей карт (CDE), а не только для удалённого доступа. Это существенное расширение по сравнению с v3.2.1, которая требовала MFA только для удалённого и административного доступа.
  • Требования к паролям обновлены: минимальная длина увеличена с 7 до 12 символов (или 8 символов, если система не поддерживает 12). Пароли должны содержать как цифры, так и буквенные символы.
  • Управление служебными учётными записями явно регламентировано, с требованиями по управлению и мониторингу паролей и привилегий доступа для учётных записей приложений и систем.
  • Контроли управления идентификацией и доступом должны пересматриваться не реже одного раза в шесть месяцев для обеспечения их актуальности.

Обновления шифрования и управления ключами

Стандарт вводит ряд важных изменений в криптографические контроли:

  • Организации должны вести реестр доверенных ключей и сертификатов и обеспечивать их действительность и актуальность
  • Шифрование на уровне диска больше не допускается как единственный механизм для приведения номеров основных счетов (PAN) в нечитаемое состояние на съёмных и несъёмных носителях
  • Уточнены требования к хешированию: при использовании хеширования для приведения PAN в нечитаемое состояние должны использоваться криптографические хеши с ключом (HMAC, CMAC)
  • Протоколы безопасности и наборы шифров должны быть инвентаризированы, и организации должны быть готовы к миграции с устаревших протоколов в определённые сроки

Целевой анализ рисков

PCI DSS v4.0 вводит формализованную концепцию целевого анализа рисков (TRA), которая применяется в двух контекстах:

TRA для индивидуального подхода: Каждый индивидуальный контроль должен быть подкреплён документированным анализом рисков, оценивающим эффективность контроля в достижении заявленной цели безопасности.

TRA для гибких требований: Ряд требований v4.0 позволяет организациям определять частоту определённых мероприятий (таких как проверка журналов, сканирование уязвимостей или смена паролей) на основе документированного анализа рисков, а не фиксированного графика. Это признаёт, что единая частота не всегда уместна.

Целевые анализы рисков должны быть задокументированы, рассмотрены руководством и обновляться не реже одного раза в 12 месяцев или при существенных изменениях.

Другие значимые изменения

Электронная коммерция и безопасность браузеров: Новые требования касаются целостности платёжных страниц, включая механизмы обнаружения и оповещения о несанкционированных изменениях HTTP-заголовков и скриптов платёжных страниц. Это прямой ответ на угрозу веб-скимминговых атак типа Magecart.

Автоматизированный анализ журналов: Организации должны внедрить автоматизированные механизмы анализа журналов, снижая зависимость от ручных процессов проверки, подверженных ошибкам и непоследовательности.

Управление внутренними уязвимостями: Теперь требуется аутентифицированное сканирование внутренних уязвимостей, а критические и высокой степени серьёзности уязвимости должны устраняться в соответствии с рейтингом рисков организации.

Обучение по вопросам безопасности: Программы обучения теперь должны включать осведомлённость об угрозах фишинга и социальной инженерии, и организации должны внедрять механизмы защиты от фишинга.

Сроки соответствия

Понимание сроков критически важно для планирования:

  • 31 марта 2024: PCI DSS v3.2.1 отозван; v4.0 становится единственным действующим стандартом
  • 31 марта 2025: Все требования с отложенными сроками в v4.0 становятся обязательными (ранее они были определены как лучшие практики)

По состоянию на начало 2026 года все требования PCI DSS v4.0, включая ранее отложенные, полностью действуют. Организации, которые ещё не внедрили эти контроли, не соответствуют стандарту и должны принять немедленные меры.

Влияние по уровню мерчанта

Влияние PCI DSS v4.0 различается в зависимости от уровня мерчанта и сервис-провайдера:

  • Мерчанты уровня 1 (более 6 миллионов транзакций в год) и сервис-провайдеры должны проходить ежегодные оценки на месте с привлечением QSA. Требования индивидуального подхода и целевого анализа рисков окажут наибольшее влияние, поскольку эксперты должны их детально проверить.
  • Мерчанты уровня 2 (1–6 миллионов транзакций) обычно заполняют опросник самооценки (SAQ), но могут потребовать QSA в зависимости от требований эквайера. Расширенные требования к MFA и паролям потребуют обновления инфраструктуры.
  • Мерчанты уровня 3 и 4 (менее 1 миллиона транзакций) заполняют SAQ. Хотя нагрузка на оценку меньше, они всё равно должны соответствовать всем применимым требованиям v4.0, включая обновлённые контроли аутентификации и электронной коммерции.

Подготовка вашей организации

BALTUM рекомендует следующие шаги для организаций, проходящих переход:

  • Провести детальный GAP-анализ на соответствие PCI DSS v4.0, уделяя особое внимание ранее отложенным требованиям, которые стали обязательными
  • Приоритизировать развёртывание MFA по всей среде CDE и всем административным доступам
  • Внедрить автоматизированный анализ журналов и аутентифицированное сканирование уязвимостей
  • Пересмотреть и обновить практики шифрования и управления ключами
  • Разработать мониторинг платёжных страниц для сред электронной коммерции
  • Обучить команды QSA и внутренних аудиторов методологии индивидуального подхода и TRA

BALTUM предоставляет услуги GAP-оценки PCI DSS, планирования устранения несоответствий, разработки политик и постоянной поддержки соответствия для мерчантов и сервис-провайдеров всех уровней. Свяжитесь с нами для обсуждения вашей программы соответствия.