PCI DSS - IMMUSEC

Tłumaczenie: IMMUSEC
Standard Bezpieczeństwa Danych PCI (PCI DSS) 3.0
- PCI Data Security Standard (PCI DSS) 3.0
Uwaga: Proponowane aktualizacje standardu są w trakcie przeglądu przez społeczność PCI.
Ostateczne zmiany zostaną określone po spotkaniu społeczności PCI i włączone do ostatecznej wersji
PCI DSS i PA-DSS, która zostanie opublikowana w listopadzie.
Wymaganie
1
2
5
6
8
9
11
12
Ogólne
Aktualizacja PCI DSS
Posiadanie aktualnego schematu
przepływów danych posiadacza karty.
Utrzymanie spisu komponentów systemu w
zakresie PCI DSS.
Ocena zmieniających się zagrożeń
dotyczących złośliwego oprogramowania
dla systemów nie atakowanych
powszechnie przez złośliwe
oprogramowanie.
Aktualizacja listy podatności zgodnie z
OWASP, NIST, SANS, itd., w celu ich
uwzględnienia w bezpiecznych praktykach
kodowania.
Zapewnienie bezpieczeństwa
mechanizmów uwierzytelnienia, takich jak
tokeny, zabezpieczenia fizyczne, karty
integralne i certyfikaty.
Ochrona terminali POS i urządzeń przed
manipulacją lub nie autoryzowaną zmianą.
Wdrożenie metodyki testów
penetracyjnych oraz wykonywanie testów
penetracyjnych w celu sprawdzenia, czy
metody rozdzielania sieci są uruchomione i
skuteczne.
Utrzymanie informacji o tym, które
wymagania PCI DSS są zarządzane przez
dostawców usług, a które są zarządzane
przez podmiot.
Usługodawcy powinni potwierdzić swą
odpowiedzialność za utrzymywanie
odpowiednich wymagań PCI DSS.
Wyjaśnienie, że wrażliwe dane nie mogą
być przechowywane po autoryzacji, nawet
jeśli PAN nie jest już dostępny.
Cel/Odniesienie
Wyjaśnienie, że udokumentowane
przepływy danych posiadacza karty są
ważnym składnikiem schematów
sieciowych.
Pomoc w skutecznym określeniu
zakresu obowiązywania standardu.
Wparcie w budowaniu świadomości i
zapewnienie staranności ochrony
systemów przed złośliwym
oprogramowaniem.
Zapewnienie aktualności wiedzy
dotyczącej nowych zagrożeń.
Wyjaśnienie wątpliwości dotyczących
metod uwierzytelnienia, innych niż
hasła.
Zapewnienie fizycznego zabezpieczenia
terminali płatniczych.
Wyjaśnienie wątpliwości dotyczących
testów penetracyjnych oraz ich
zakresu.
W związku z opiniami przekazanymi
przez Third Party Security Assurance
SIG.
Zapewnienie lepszego zrozumienia
ochrony wrażliwych danych
autoryzacyjnych.
1
Tłumaczenie: IMMUSEC
Wymaganie
Ogólne
Ogólne
Ogólne
Ogólne
Aktualizacja PCI DSS
Nowe wytyczne w zakresie wdrożenia
zabezpieczeń do wykonywanych
codziennych czynności operacyjnych i
najlepszych praktyk zapewniających
zgodność z PCI DSS.
Nowe wytyczne dla wszystkich wymagań
zawierających treść dawnego punktu
Navigating PCI DSS Guide.
Sekcja raportowania ROC została
przeniesiona do oddzielnego szablonu
sprawozdawczego.
Ulepszone procedury testowania w celu
wyjaśnienia oczekiwanego poziomu
spełnienia wymagań.
Cel/Odniesienie
W związku z przypadkami utraty
zgodności z wymaganiami PCI DSS po
przełamaniu zabezpieczeń.
Rekomendacje koncentrują się na
pomocy organizacji w proaktywnym
podejściu do ochrony danych
posiadacza karty, które koncentruje się
na bezpieczeństwie i niezgodnościach,
oraz sprawia, że wymagania PCI DSS są
uwzględniane w codziennej działalności
organizacji.
Wsparcie zrozumienia celów
bezpieczeństwa i istoty poszczególnych
celów.
Uproszczenie i usprawnienie
raportowania.
Zwiększenie nacisku na jakość i
spójność ocen.
Wyjaśnienie wątpliwości dotyczących
stopnia powiązania polityki
bezpieczeństwa z właściwymi
wymaganiami technicznymi PCI DSS.
Eliminacja luk w podstawowych
praktykach bezpieczeństwa haseł, które
doprowadziły do przełamania
zabezpieczeń.
Wielokrotne
Włączenie polityki bezpieczeństwa /
wymagań procedur w poszczególne
wymagania(zastępuje dawne 12.1.1 i 12.2).
2
Wyjaśnienie, że zmiana domyślnego hasła
jest wymagana dla kont aplikacyjnych /
kont usługowych oraz kont użytkowników.
3
Zapewnienie elastyczności bezpiecznego
przechowywania kluczy kryptograficznych
oraz wyjaśnienie zasad współdzielenia
wiedzy i podwójnej kontroli.
Wyjaśnienie wątpliwości dotyczących
zarządzania kluczami.
8
Zapewnienie elastyczności dla siły i
złożoności hasła, aby umożliwić stosowanie
równoważnych zamienników. Zmieniona
polityka haseł zawiera wskazówki dla
użytkowników dotyczące wyboru silnych
haseł, ochrony ich danych
uwierzytelniających i zmiany haseł w
przypadku podejrzenia ich przełamania.
Wyjaśnienie wątpliwości dotyczących
zabezpieczania haseł. Zmiany
nakierowane są na większą
elastyczność i określenie wytycznych
dla użytkowników, a nie na nowe
wymagania.
Wyjaśnienie celu i zakresu codziennych
przeglądów logów.
Aby pomóc podmiotom w
koncentrowaniu się na przeglądach
logów dotyczących zidentyfikowania
podejrzanej aktywności i umożliwieniu
elastycznego przeglądu mniej
krytycznych logów, zdefiniowanych
przez strategię zarządzania ryzykiem
organizacji.
10
2
Tłumaczenie: IMMUSEC
Standard bezpieczeństwa danych w aplikacjach płatniczych PCI (PA-DSS) 3.0
- PCI Payment Application Data Security Standard (PA-DSS) 3.0
Uwaga: Proponowane aktualizacje są w trakcie przeglądu przez społeczność PCI. Ostateczne zmiany
zostaną określone po spotkaniu społeczności PCI i włączone do ostatecznej wersji PCI DSS i PA-DSS,
która zostanie opublikowana w listopadzie.
Wymaganie
5
7
14
Aktualizacja PA-DSS
Nowe wymagania dla procesu rozwoju
oprogramowania, w tym okresowe przeglądy
bezpieczeństwa, weryfikacja integralności
kodu źródłowego, metodyka wersjonowania,
techniki modelowania zagrożeń oraz
formalny proces autoryzacji przed
ostatecznym wydaniem.
Do praktyk bezpiecznego kodowania należy
dodać zaktualizowaną listę popularnych
podatności w odniesieniu do OWASP, NIST,
SANS, itp.
Nowe wymaganie dla sprzedawców aplikacji,
dla zapewnienia dostępności informacji o
każdej aktualizacji.
Nowe wymaganie dotyczące szkoleń
integratorów i dystrybutorów (dawne
Wymaganie 13) oraz sprzedawców.
Ogólne
Wyjaśnienie, że aplikacje PA-DSS znajdują się
w zakresie oceny PCI-DSS.
Ogólne
Nowe wskazówki dla każdego z wymagań PCI
DSS.
Ogólne
Ogólne
Ogólne
2
Przeniesiona sekcja raportowania ROV do
oddzielnego szablonu raportowania.
Przeniesienie, do Instrukcji Programowej
PA-DSS, informacji dotyczącej możliwości
zastosowania PA-DSS oraz informacja o
rolach i odpowiedzialnościach.
Zaktualizowane procedury testowe
weryfikujące zawartość Instrukcji Wdrażania
PA-DSS.
Usunięte wymaganie dotyczące używania
rozwiązań szyfrujących całe dyski.
Cel/Odniesienie
Zwiększenie zaufania do praktyk
deweloperskich dostawcy PA-DSS.
Uproszczenie procesu zmian w
aplikacjach PA-PCI oraz zwiększenie
elastyczności sprzedawców.
Zapewnienie dostępu do bieżących
informacji o pojawiających się
nowych zagrożeniach.
Pomoc sprzedawcom w określaniu,
które wersje ich aplikacji znajdują się
na liście PA-DSS.
Podkreślenie znaczenia szkoleń dla
dystrybutorów i sprzedawców.
Wyjaśnienie wątpliwości dotyczących
tego, czy użycie aplikacji PA-DSS
gwarantuje zgodność z wymaganiami
PCI-DSS.
Pomoc w zrozumieniu celów
dotyczących bezpieczeństwa oraz
znaczenia każdego z wymagań.
Ułatwienie i poprawa efektywności
procesu raportowania.
Zapewnienie większej przejrzystości
przez usuwanie powtarzających się
informacji.
Zwrócenie uwagi na jakość Instrukcji
Wdrażania.
Wyjaśnienie wątpliwości dotyczących
wymagania dla PA-DSS.
3
Tłumaczenie: IMMUSEC
Wymaganie
Aktualizacja PA-DSS
Nowe wymaganie by zapewnić, że zmiana
domyślnych haseł jest wymuszana przez
aplikację i odpowiednio walidowana.
3
8
10
13
Zaktualizowane wymaganie, by żądać użycia
jednokierunkowego algorytmu szyfrowania
ze zmiennymi danymi wejściowymi, by
ograniczyć ryzyko odczytania hasła.
Przeniesione dwa wymagania z Wymagania
5 oraz 10, by ułatwić bezpieczne wdrożenie
środowiska PCI-DSS.
Wyjaśnienie wymagania dotyczącego
dwuczynnikowego uwierzytelnienia w
przypadku nawiązywania połączeń
sieciowych poza siecią klienta.
Zmiana wymagań pod kątem Instrukcji
Wdrażania oraz przeniesienie do nowego
Wymagania 14wymagań dotyczących
szkoleń integratorów i dystrybutorów.
Cel/Odniesienie
Podniesienie świadomości dotyczącej
tego, że nie zmienione hasła
domyślne są częstą przyczyną
przełamania zabezpieczeń
sprzedawców.
Zapewnienie przechowywania i
przesyłania haseł w bezpieczny
sposób.
Zapewnienie, że treść wymagań jest
zrozumiała.
Zapewnienie zrozumienia, kiedy
należy stosować dwuczynnikowe
uwierzytelnienie.
Zwiększenie nacisku na jakość
Instrukcji Wdrażania.
4