Требования PCI-DSS становятся строже
21.08.201310:1821.08.2013 10:18:58
Находящаяся в разработке третья версия стандарта PCI-DSS, как обещает руководство Payment Card Industry Security Standards Council, повысит безопасность экосистемы электронных платежей [spoiler]благодаря акцентированию на процессности обеспечения соответствия стандарту, а не на периодическом разовом контроле такового. Проверки на соответствие будут сосредоточены на проверках безопасности бизнес-процессов, а не на наличии у проверяемых ИБ-технологий. В стандарт вводятся политики соответствия и постоянные оценки рисков. Вместе с этим новации в стандарте не означают, что проверки на соответствие станут проводиться чаще, чем раз в год.
Из технических деталей упоминается увеличение минимальной длины пароля до семи знаков (букв и цифр) и возможность использования в качестве паролей фраз. Что касается облаков, то мерчантам не удастся перекладывать все ответственность за соответствие PCI DSS на провайдеров облачных сервисов поддержки этого стандарта, а придется разделять ее с ними.
Предполагается, что финальная версия PCI-DSS 3.0 будет опубликована в ноябре, а в силу вступит с 1 января 2014 года. Однако, на переход на версию 3.0 участникам индустрии платёжных карт будет предоставлен год.
21.08.201310:1821.08.2013 10:18:58