Վճարային համակարգերի ստանդարտները

News, Premium2, Բանկային քարտեր

Վճարային քարտերի արդյունաբերության տվյալների անվտանգության ստանդարտը (PCI DSS) շարունակում է զարգանալ տեխնոլոգիաների հետ մեկտեղ: 2022 թվականի մարտին թողարկված 4.0 տարբերակը նշանակալի քայլ է առաջ վճարային արդյունաբերության անվտանգության ստանդարտների զարգացման մեջ՝ ներկայացնելով նոր հայեցակարգեր և ընդլայնված պահանջներ վճարային քարտերի տվյալների պաշտպանության համար:

Մաս 1։ PCI DSS-ի էվոլյուցիան և անցումը 4.0 տարբերակին

2022 թվականի մարտին PCI SSC խորհուրդը թողարկել է վճարային քարտերի արդյունաբերության տվյալների անվտանգության ստանդարտի նոր տարբերակը՝ PCI DSS v4.0: Այս 360 էջանոց փաստաթուղթը նշանավորում է վճարային արդյունաբերության անվտանգության ստանդարտների զարգացման մեջ նշանակալի քայլ՝ ներկայացնելով նոր հասկացություններ և ընդլայնված պահանջներ:

PCI DSS v4.0-ի մշակումը մեծապես պայմանավորված էր արդյունաբերության ներկայացուցիչների արձագանքներով: Նոր տարբերակի ստեղծման գործընթացում անցկացվել է մեկնաբանությունների հավաքագրման երեք փուլ (RFC), ստացվել է ավելի քան 6000 արձագանք և հաշվի է առնվել ավելի քան 200 ընկերությունների փորձը: Հաշվի առնելով փոփոխությունների մասշտաբը, նոր տարբերակի ներդրումը տեղի կունենա փուլ առ փուլ հաջորդ երեք տարիների ընթացքում: Ընդ որում, ընթացիկ PCI DSS v3.2.1 տարբերակը կմնա ակտիվ մինչև 2024 թվականի մարտի 31-ը, որպեսզի կազմակերպությունները կարողանան սահուն անցում կատարել նոր պահանջներին: Բոլոր նոր պահանջների լիարժեք ուժի մեջ մտնելը նախատեսված է 2025 թվականի մարտի 31-ին:

Մաս 2։ Նշանակալի փոփոխություններ նույնականացման և մուտքի կառավարման մեջ

Բազմագործոն նույնականացում (MFA)

4.0 տարբերակի կարևորագույն փոփոխություններից մեկը բազմագործոն նույնականացման պահանջների ընդլայնումն է: Ուսումնասիրությունները ցույց են տալիս, որ MFA-ի ճիշտ օգտագործումը կարող է կանխել հաշվի տվյալների գրոհների մինչև 99.9%-ը: Նոր տարբերակում MFA-ն պահանջվում է քարտապանների տվյալների միջավայր (CDE) բոլոր մուտքերի համար, ի լրումն կազմակերպության ցանցից դուրս հեռակա մուտքի համար գոյություն ունեցող MFA պահանջի:

Գաղտնաբառեր և անցաբառեր

Գաղտնաբառերի պահանջները ենթարկվել են էական փոփոխությունների: Հաշվի առնելով ժամանակակից համակարգիչների հաշվողական հզորության աճը, գաղտնաբառի նվազագույն երկարությունն ավելացվել է 7-ից մինչև 12 նիշ: Ընդ որում, գաղտնաբառերը յուրաքանչյուր 90 օրը մեկ փոխելու պահանջը պահպանվում է միայն MFA չօգտագործող համակարգերի համար:

Խմբային և ընդհանուր հաշիվներ

Ի տարբերություն 3.2.1 տարբերակի, որն ամբողջությամբ արգելում էր խմբային և ընդհանուր հաշիվների օգտագործումը, 4.0 տարբերակը թույլատրում է դրանց օգտագործումը պատշաճ կառավարման պայմաններում: Սա ներառում է՝

  • Օգտագործման սահմանափակ ժամկետ
  • Պարտադիր հաստատում
  • Կոնկրետ օգտագործողների գործողությունների հետևելու հնարավորություն
  • Օգտագործման պարբերական աուդիտ

Մաս 3։ Համապատասխանության գնահատման նոր մոտեցումներ

4.0 տարբերակը ներկայացնում է ստանդարտի պահանջներին համապատասխանության վավերացման երկու մեթոդ՝

Սահմանված մոտեցում (Defined Approach)

Սա ավանդական մեթոդն է, որը հետևում է հստակ սահմանված PCI DSS պահանջներին և թեստավորման ընթացակարգերին: Այն օպտիմալ է այն կազմակերպությունների համար, որոնց անվտանգության համակարգերն արդեն կառուցված են ընթացիկ պահանջներին համապատասխան:

Հարմարեցված մոտեցում (Customized Approach)

Նոր մեթոդ, որը կողմնորոշված է դեպի անվտանգության նպատակների ձեռքբերումը, այլ ոչ թե կոնկրետ տեխնիկական պահանջներին համապատասխանությունը: Այն թույլ է տալիս կազմակերպություններին ինքնուրույն որոշել և ներդնել վերահսկման մեխանիզմներ PCI DSS պահանջներում նշված անվտանգության նպատակներին հասնելու համար:

Մաս 4։ Վճարային համակարգերի տեխնոլոգիական պահանջներ

Ենթակառուցվածքային պահանջներ

  • Պարտադիր հիմնական և պահուստային տվյալների կենտրոններ՝ Tier III հուսալիության մակարդակով կամ ավելի բարձր
  • Տվյալների մշակման կենտրոնների աշխարհագրական տարանջատում
  • Կապի ուղիների կրկնօրինակում տարբեր մատակարարներից
  • Հիմնական ուղու նվազագույն թողունակություն՝ 1 Գբիթ/վ
  • Դինամիկ երթուղավորման արձանագրությունների օգտագործում (BGP, OSPF)

Արտադրողականության պահանջներ

  • Հաստատման հարցման պատասխանի ժամանակը՝ ոչ ավել քան 2 վայրկյան
  • Նվազագույնը 1000 գործարք վայրկյանում մշակելու կարողություն
  • Համակարգերի հասանելիություն 99.999% մակարդակով
  • Առավելագույն պարապուրդ՝ 5 րոպե տարեկան

Մաս 5։ Գործնական ներդրման ասպեկտներ

Նոր տարբերակի անցնելը պահանջում է մանրակրկիտ պլանավորում և նախապատրաստում: Կազմակերպություններին խորհուրդ է տրվում՝

  1. Անվտանգության ընթացիկ վիճակի վերլուծություն անցկացնել
  2. Որոշել համապատասխանության գնահատման առավել հարմար մոտեցումը
  3. Մշակել անցման պլան
  4. Անձնակազմին ուսուցանել նոր պահանջները
  5. Թարմացնել փաստաթղթերը և ընթացակարգերը
  6. Փորձարկել նոր վերահսկման մեխանիզմները

Ներդրման ժամանակացույց

PCI DSS v4.0-ի ներդրման ժամանակացույցը կառուցված է այնպես, որ կազմակերպություններին տրվի հարմարվելու բավարար ժամանակ՝

  • 2022 թ. մարտ — PCI DSS v4.0-ի հրապարակում
  • 2024 թ. մարտի 31 — PCI DSS v3.2.1-ի գործողության դադարեցում
  • 2025 թ. մարտի 31 — Ապագայի նոր պահանջների ուժի մեջ մտնելը

Ընդհանուր առմամբ, PCI DSS-ի նոր տարբերակն արտացոլում է տեղեկատվական անվտանգության ժամանակակից միտումները և կազմակերպություններին տալիս է ավելի մեծ ճկունություն քարտապանների տվյալների պաշտպանության մեթոդների ընտրության հարցում: Ընդ որում, պահպանվում է հիմնական սկզբունքը՝ վճարային ենթակառուցվածքի անվտանգության բարձր մակարդակի ապահովումը:

Կարևոր է հիշել, որ PCI DSS-ի պահանջներին համապատասխանությունը շարունակական գործընթաց է, այլ ոչ թե միանգամյա միջոցառում: Կազմակերպությունները պետք է շարունակաբար հետևեն ստանդարտի պահանջների փոփոխություններին և ժամանակին հարմարեցնեն իրենց անվտանգության համակարգերը նոր սպառնալիքներին և մարտահրավերներին: