Блог

Находящаяся в разработке третья версия стандарта PCI-DSS, как обещает руководство  Payment Card Industry Security Standards Council, повысит безопасность экосистемы электронных платежей [spoiler]благодаря акцентированию на процессности обеспечения соответствия стандарту, а не на периодическом разовом контроле такового. Проверки на соответствие будут сосредоточены на проверках безопасности бизнес-процессов, а не на наличии у проверяемых ИБ-технологий. В стандарт вводятся политики соответствия и постоянные оценки рисков. Вместе с этим новации в стандарте не означают, что проверки на соответствие станут проводиться чаще, чем раз в год.

Из технических деталей упоминается увеличение минимальной длины пароля до семи знаков (букв и цифр) и возможность использования в качестве паролей фраз. Что касается облаков, то мерчантам не удастся перекладывать все ответственность за соответствие PCI DSS на провайдеров облачных сервисов поддержки этого  стандарта, а придется разделять ее с ними.

Предполагается, что финальная версия PCI-DSS 3.0 будет опубликована в ноябре, а в силу вступит с 1 января 2014 года. Однако, на переход на версию 3.0 участникам  индустрии платёжных карт будет предоставлен год.