вторник, 29 декабря 2015 г.

Опыт подготовки и прохождения аудита PCI DSS 3.1

В этом месяце под моим руководством успешно завершился проект по подготовке и сертификации PCI DSS 3.1. И есть повод написать о практическом опыте несколько слов. Отличия от третей версии не столь значительные как при переходе от PCI DSS 2.0 к PCI DSS 3.0, но они есть. 

В чем же они заключаются?

1. Как и в каждой новой версии стандарта PCI DSS переопределены понятия и есть перестановки в нумерации пунктов.
2. Одним из пунктов является признание протокола SSL небезопасным и запрет его использования.
3. Так же появилось требование о наличии матрицы распределения ответственности.
4. Изменились формы отчетности RoC и AoC (актуально для аудиторов).
5. Значительно увеличилось количество собираемых подтверждений выполнения требований стандарта (копий документов, отчетности, копий экрана).

В целом, по личному опыту могу сказать, что изменения в стандарте PCI DSS 3.1 практически не повлияли на процесс подготовки компании к аудиту. Если, компания успешно прошла в прошлом году аудит по версии 3.0 (и даже по версии 2.0) каких-либо проблем у нее возникнуть не должно. Конечно в том случае, если сертифицированные процессы выполнялись на протяжении прошедшего года непрерывно, и не забывали о периодических задачах (ежедневных, еженедельных, ежеквартальных и прочих, которых требует стандарт и внутренние документы компании).

Что же касается компаний, которые впервые планируют проходить аудит безопасности PCI DSS, то для них обязательно соответствие версии 3.1 в полном объеме. В этом случае стоит помнить, что на подготовку и выполнение всех требований в зависимости от размера инфраструктуры подлежащей сертификации, количества задействованного персонала и других факторов необходимо планировать не менее одного, а скорее всего двух кварталов.

Со всеми изменениями в PCI DSS 3.1 вы можете ознакомиться на официальном портале PCI Council.

В случае вопросов, буду рад проконсультировать. 
Skypeviktor.davydych

Комментариев нет: