Почему именно PCI DSS? Во-первых, несмотря на геополитические изменения, соответствие PCI DSS является обязательным требованием платежной системы «Мир».
Во-вторых, летом 2022 года была опубликована новая версия стандарта PCI DSS 4.0. В новой версии стандарта произошли изменения как в самих требованиях, так и в подходах к их выполнению.
Важным изменением является добавление индивидуального подхода к выполнению требований стандарта. В настоящий момент все требования должны выполняться напрямую, по заранее определенному подходу, единому для всех компаний. Индивидуальный подход позволяет расширить возможности по выполнению требований, предлагая более гибкие варианты. Каждое требование теперь содержит описание цели, которую необходимо достигнуть, при этом компания вправе самостоятельно выбирать средства и методы достижения этой цели. Аудитор при этом самостоятельно выберет способ проверки и убедится, что цель требования достигнута.
Сложность индивидуального подхода заключается в необходимости выполнения таргетированного анализа рисков для каждого такого требования.
Индивидуальный подход не применим для выполнения самооценки (SAQ), а также к требованиям, предписывающим защиту хранимых карточных данных, и некоторым другим.
Применение индивидуального подхода не упрощает прохождение аудита и поддержание соответствия, однако помогает компаниям, обладающим высоким уровнем зрелости, гибче подойти к выполнению требований стандарта.
Согласно плану перехода, пройти QSA-аудит по новой версии PCI DSS 4.0 можно уже сейчас. С третьего квартала 2022 года можно проходить аудит как по версии 3.2.1, так и по версии 4.0. Однако, с 31 марта 2024 года PCI DSS 3.2.1 утратит силу.
Помимо семинара можно было принять участие в воркшопе PRACTICAL SECURITY VILLAGE от исследовательской лаборатории Deiteriy Lab. Основная идея воркшопа заключается в том, чтобы участники могли познакомиться с новыми технологиями и получить знания о различных уязвимостях, способах их эксплуатации и методах, позволяющих не допустить возникновения этих уязвимостей.