Biz haqimizdaStandartlarBlog ✦ AI baholashNarx olish →

PCI DSS v4.0 — asosiy o'zgarishlar va ular biznesingiz uchun nimani anglatadi

PCI DSS v4.0 o'n yildan ortiq vaqt davomida to'lov kartalari sanoati standartidagi eng muhim yangilanishni ifodalaydi. Savdogarlar va xizmat ko'rsatuvchilar muvofiq bo'lib qolish uchun nimalarni bilishlari kerak.

PCI DSS 8 daq o'qish

PCI DSS v4.0 umumiy ko'rinishi

To'lov kartalari sanoati ma'lumotlar xavfsizligi standarti (PCI DSS) 4.0 versiyasi PCI Xavfsizlik standartlari kengashi (PCI SSC) tomonidan 2022-yil martida nashr etilgan, 4.0.1 versiyasi esa 2024-yil iyunida kichik tushuntirishlar berish uchun chiqarilgan. PCI DSS v3.2.1 2024-yil 31-martda rasman bekor qilingan bo'lib, v4.0 ni standartning yagona faol versiyasiga aylantirdi.

Yangilanish to'rt yildan ortiq sanoat fikr-mulohazalarini aks ettiradi va to'lov kartasi ma'lumotlariga tahdid qiluvchi rivojlanayotgan tahdid landshaftiga javob beradi.

Moslashtirilgan yondashuv

v4.0 dagi eng muhim yangiliklardan biri Moslashtirilgan yondashuvdir. Tarixan PCI DSS tashkilotlardan har bir talabni belgilangan usul orqali bajarishni talab qilgan. Moslashtirilgan yondashuv tashkilotlarga muqobil nazorat chorasi yordamida talabning xavfsizlik maqsadini bajarishga imkon beradi, agar ular teng yoki yaxshiroq xavfsizlik darajasiga erishishini namoyish eta olsalar.

  • Moslashtirilgan nazorat chorasi va u belgilangan maqsadga qanday javob berishini hujjatlash
  • Nazorat chorasining samaradorligini baholash uchun maqsadli xavf tahlilini o'tkazish
  • Yondashuvni tasdiqlash uchun Malakali xavfsizlik baholovchisi (QSA) tomonidan sinovdan o'tish

Kuchaytirilgan autentifikatsiya talablari

PCI DSS v4.0 autentifikatsiya nazorat choralarini sezilarli kuchaytiradi:

  • Ko'p faktorli autentifikatsiya (MFA) endi faqat masofaviy kirish emas, karta egasi ma'lumotlari muhitiga (CDE) barcha kirish uchun talab qilinadi.
  • Parol talablari yangilandi: minimal uzunlik 7 dan 12 belgiga oshdi (yoki tizim 12 ni qo'llab-quvvatlamasa 8 belgi).
  • Xizmat hisobi boshqaruvi aniq ko'rib chiqilgan bo'lib, dastur va tizim hisoblari uchun parollar va kirish imtiyozlarini boshqarish va monitoring qilish talablari bilan.
  • Identifikatsiya va kirishni boshqarish nazorat choralari tegishli bo'lib qolishini ta'minlash uchun kamida har olti oyda ko'rib chiqilishi kerak.

Shifrlash va kalitlarni boshqarish yangilanishlari

  • Tashkilotlar ishonchli kalitlar va sertifikatlar inventarizatsiyasini saqlashlari va sertifikatlar yaroqli va muddati o'tmaganligini ta'minlashlari kerak
  • Disk darajasidagi shifrlash endi olinadigan media yoki olinmaydigan xotira qurilmalarida asosiy hisob raqamlarini (PAN) o'qilmaydigan holga keltirish uchun yagona mexanizm sifatida qabul qilinmaydi
  • PAN ni o'qilmaydigan holga keltirish uchun xeshlash qo'llanilganda kalitli kriptografik xeshlar (HMAC, CMAC) ishlatilishi kerak

Maqsadli xavf tahlili

PCI DSS v4.0 ikki kontekstda qo'llaniladigan maqsadli xavf tahlili (TRA) ning rasmiy tushunchasini joriy etadi:

Moslashtirilgan yondashuv uchun TRA: Har bir moslashtirilgan nazorat chorasi hujjatlashtirilgan xavf tahlili bilan qo'llab-quvvatlanishi kerak.

Moslashuvchan talablar uchun TRA: v4.0 dagi bir nechta talablar tashkilotlarga belgilangan jadval o'rniga hujjatlashtirilgan xavf tahliliga asoslangan holda ma'lum faoliyatlarning chastotasini aniqlashga imkon beradi.

Boshqa muhim o'zgarishlar

Elektron tijorat va brauzer xavfsizligi: Yangi talablar to'lov sahifasi yaxlitligini, shu jumladan HTTP sarlavhalari va to'lov sahifasi skriptlariga ruxsatsiz o'zgartirishlarni aniqlash va ogohlantirish mexanizmlarini qamrab oladi.

Avtomatlashtirilgan jurnal ko'rib chiqish: Tashkilotlar jurnal ko'rib chiqishni amalga oshirish uchun avtomatlashtirilgan mexanizmlarni joriy etishlari kerak.

Ichki zaifliklarni boshqarish: Autentifikatsiyalangan ichki zaiflik skanerlash endi talab qilinadi.

Xavfsizlik xabardorligi o'qitishi: O'quv dasturlari endi fishing va ijtimoiy muhandislik tahdidlari haqida xabardorlikni o'z ichiga olishi kerak.

Muvofiqlik muddatlari

  • 2024-yil 31-mart: PCI DSS v3.2.1 bekor qilindi; v4.0 yagona faol standart bo'ldi
  • 2025-yil 31-mart: v4.0 dagi barcha kelajakka rejalashtirilgan talablar majburiy bo'ldi

2026-yil boshiga kelib, avval kelajakka rejalashtirilgan elementlar ham dahil barcha PCI DSS v4.0 talablari to'liq qo'llaniladi. Bu nazorat choralarini hali amalga oshirmagan tashkilotlar nomuvofiq bo'lib, darhol harakatga o'tishlari kerak.

Tashkilotingizni tayyorlash

BALTUM o'tishni boshqarayotgan tashkilotlar uchun quyidagi qadamlarni tavsiya etadi:

  • PCI DSS v4.0 ga nisbatan batafsil bo'shliq tahlilini o'tkazing, hozir majburiy bo'lgan avval kelajakka rejalashtirilgan talablarga alohida e'tibor bering
  • CDE va barcha ma'muriy kirish bo'ylab MFA joylashtirishni ustuvor qiling
  • Avtomatlashtirilgan jurnal ko'rib chiqish va autentifikatsiyalangan zaiflik skanerlashni amalga oshiring
  • Shifrlash va kalit boshqaruvi amaliyotlarini ko'rib chiqing va yangilang
  • Elektron tijorat muhitlari uchun to'lov sahifasi monitoringini ishlab chiqing
  • QSA guruhlarini va ichki audit xodimlarini moslashtirilgan yondashuv va TRA metodologiyasi bo'yicha o'qiting

BALTUM barcha darajadagi savdogarlar va xizmat ko'rsatuvchilar uchun PCI DSS bo'shliq baholashlari, tuzatish rejalari, siyosat ishlab chiqish va davomiy muvofiqlik yordamini taqdim etadi. Muvofiqlik dasturingizni muhokama qilish uchun biz bilan bog'laning.