В этом месяце под моим руководством успешно завершился
проект по подготовке и сертификации PCI DSS 3.1. И есть повод написать о
практическом опыте несколько слов. Отличия от третей версии не столь
значительные как при переходе от PCI DSS 2.0 к PCI DSS
3.0, но они есть.
В чем же они заключаются?
1. Как и в каждой новой версии стандарта PCI DSS переопределены понятия и есть перестановки в нумерации пунктов.
2. Одним из пунктов является признание протокола SSL небезопасным и запрет его использования.
3. Так же появилось требование о наличии матрицы распределения ответственности.
4. Изменились формы отчетности RoC и AoC (актуально для аудиторов).
5. Значительно увеличилось количество собираемых подтверждений выполнения требований стандарта (копий документов, отчетности, копий экрана).
1. Как и в каждой новой версии стандарта PCI DSS переопределены понятия и есть перестановки в нумерации пунктов.
2. Одним из пунктов является признание протокола SSL небезопасным и запрет его использования.
3. Так же появилось требование о наличии матрицы распределения ответственности.
4. Изменились формы отчетности RoC и AoC (актуально для аудиторов).
5. Значительно увеличилось количество собираемых подтверждений выполнения требований стандарта (копий документов, отчетности, копий экрана).
В целом, по личному опыту могу сказать, что изменения в
стандарте PCI DSS
3.1 практически не повлияли на процесс подготовки компании к аудиту. Если,
компания успешно прошла в прошлом году аудит по версии 3.0 (и даже по версии
2.0) каких-либо проблем у нее возникнуть не должно. Конечно в том случае, если
сертифицированные процессы выполнялись на протяжении прошедшего года
непрерывно, и не забывали о периодических задачах (ежедневных, еженедельных,
ежеквартальных и прочих, которых требует стандарт и внутренние документы компании).
Что же касается компаний, которые впервые планируют проходить аудит безопасности PCI DSS, то для них обязательно соответствие версии 3.1 в полном объеме. В этом случае стоит помнить, что на подготовку и выполнение всех требований в зависимости от размера инфраструктуры подлежащей сертификации, количества задействованного персонала и других факторов необходимо планировать не менее одного, а скорее всего двух кварталов.
В случае вопросов,
буду рад проконсультировать.
Почта: viktor.davydych@gmail.com
Skype: viktor.davydych