31 марта 2022 года был опубликован PCI DSS v. 4.0. В новой версии стандарта произошли изменения как в самих требованиях, так и в подходах к их выполнению. Про изменение подходов к выполнению требований мы рассказывали в предыдущей статье. В данной статье мы подробнее рассмотрим изменения в требованиях стандарта.
PCI DSS v. 3.2.1 | PCI DSS v. 4.0 | Отличие |
---|---|---|
1.1.1. Все изменения в конфигурациях межсетевых экранов (МЭ) и маршрутизаторов должны проходить по процедуре управления изменениями. | 1.2.2.Все изменения в конфигурациях средств контроля сетевой безопасности (Network Security Controls – NSC) должны проходить по процедуре управления изменениями. | Новое понятие NSC включает в себя не только МЭ и маршрутизаторы, но и любые другие средства сетевой безопасности, которые управляют сетевым трафиком на основе определенных политик или правил. |
1.1.7. Правила МЭ должны пересматриваться не реже, чем раз в полгода. | 1.2.7. Конфигурации NSC должны пересматриваться не реже, чем раз в полгода. | Теперь пересмотру подлежат не только правила МЭ, но и конфигурации NSC. |
1.4. На устройствах с доступом в Интернет и область применимости PCI DSS должен быть настроен персональный МЭ или аналогичное ПО. Такое ПО должно быть всегда запущено и не должно позволять вносить изменения пользователям в настройки. | 1.5.1. На устройствах с доступом к недоверенным сетям и области применимости PCI DSS необходимо настроить средства контроля безопасности для защиты от угроз. Такие средства должны быть всегда запущены и не должны позволять вносить пользователям не согласованные с руководством изменения. | На персональных устройствах должны быть установлены средства контроля безопасности для защиты от угроз, направленных на внутреннюю сеть. |
2.2. Необходимо разработать стандарты конфигурации (СК) для всех компонентов информационной инфраструктуры и убедиться, что данные СК учитывают меры противодействия всем известным уязвимостям и соответствуют принятым в отрасли стандартам. |
2.2.1. Необходимо:
|
Теперь в стандарте явно указано, что СК необходимо обновлять, в случае обнаружения новых уязвимостей в компоненте информационной инфраструктуры и что СК необходимо применять в отношении новых компонентов информационной инфраструктуры. |
2.2.1. На сервере должна быть реализована только одна основная функция, например, веб-сервер, сервер баз данных и DNS должны быть реализованы на отдельных серверах. |
2.2.3. Основные функции, требующие разных уровней безопасности, должны управляться одним из следующих образов:
|
Добавлена гибкость при использовании функции, требующих разных уровней безопасности, на одном сервере. |
3.3. Максимальное количество цифр PAN при отображении: первые 6 и последние 4 цифры. | 3.4.1. Максимальное количество цифр PAN при отображении: BIN и последние 4 цифры. | Разрешено отображать большее количество цифр PAN в случае, если BIN больше 6 цифр. |
5.2. Антивирус должен периодически сканировать системы на наличие ВПО. | 5.3.2. Антивирус должен производить периодические сканирования на наличие ВПО и сканирования в режиме реального времени или постоянный поведенческий анализ систем и процессов. | Добавлена альтернатива периодическим сканированиям на наличие ВПО. |
6.4.3. Производственные данные (реальные PAN) не могут использоваться для тестирования или разработки. | 6.5.5. Производственные PAN не могут использоваться в предпроизводственных средах за исключением случаев, когда данные среды находятся в CDE и защищены соответствующим образом. | В случае, если предпроизводственные среды находятся в CDE и защищены соответствующим образом, в них можно использовать производственные данные. |
8.7. Пользовательский доступ к БД с ДДК должен быть разрешен только через приложения и программные методы в соответствии с принципом минимальных привилегий или через прямой доступ для администраторов БД. Учетные записи приложений могут использоваться только самими приложениями. | 7.2.6. Пользовательский доступ к репозиториям с ДДК должен быть разрешен только через приложения и программные методы в соответствии с принципом минимальных привилегий или через прямой доступ для администраторов БД. | Требование расширено и теперь применяется ко всем местам хранения ДДК, а не только к БД. |
8.5. Запрещено использовать неперсонализированные учётные записи, пароли и другие аутентификационные данные. Неперсонализированные учётные записи не должны использоваться для администрирования компонентов информационной инфраструктуры, а должны быть заблокированы или удалены. | 8.2.2. Неперсонализированные учётные записи или другие аутентификационные данные могут использоваться только в качестве обоснованного исключения после согласования руководством периода времени, необходимого на устранение неполадок. За всеми действиями, выполненными из-под таких учётных записей, должен вестись мониторинг. | Разрешено использовать неперсонализированные учётные записи в случае критических ситуаций. |
8.1.6. Учетная запись должна блокироваться после 6 неуспешных попыток входа. | 8.3.4. Учетная запись должна блокироваться после 10 неуспешных попыток входа. | Допустимое количество неуспешных попыток входа увеличено. |
8.2.4. Необходимо менять пароли (парольные фразы), как минимум, раз в 90 дней. | 8.3.9. Если пароли (парольные фразы) используются в качестве единственного фактора аутентификации для пользовательского доступа, то их необходимо менять, как минимум, раз в 90 дней или вести динамический анализ безопасности учетных записей. | В качестве альтернативы ежеквартальной смене пароля можно использовать решения класса UEBA (User and Entity Behavior Analytics). |