Революция в безопасности платежей: PCI DSS 4.0 – что нужно знать каждому бизнес-лидеру

31 марта 2024 года вступили в силу требования первого этапа нового стандарта версии 4.0, и 31 марта 2025 года вступит в силу обязательное соблюдение соответствия международным требованиям.

Предприятия должны осознать масштаб предстоящих изменений и начать подготовку уже сейчас. Новый стандарт не только ставит перед бизнесом новые вызовы, но и открывает возможности для укрепления безопасности и повышения доверия клиентов.

Чтобы разобраться в нюансах и потенциальных последствиях PCI DSS 4.0, мы обратились к эксперту мирового уровня – директору по стратегическим альянсам компании Thales Марко Бобинацу.

PCI DSS: Глобальный стандарт безопасности в мире платежных карт В современном бизнес-ландшафте, где цифровые транзакции стали нормой, стандарт безопасности данных индустрии платежных карт PCI DSS играет ключевую роль в защите конфиденциальной информации клиентов и обеспечении доверия к платежным системам. Ведущие платежные системы мира – American Express, Discover, JCB, MasterCard и Visa – объединили усилия для создания единой системы требований, направленной на обеспечение максимальной защиты конфиденциальной информации при обработке платежей. Регламент охватывает все аспекты защиты информации о держателях карт и конфиденциальных аутентификационных данных на любых этапах их жизненного цикла: хранение, обработку и передачу.

Согласно этим требованиям, каждая организация, вовлеченная в процесс обработки платежных карт, обязана соблюдать установленные нормы безопасности. Это касается всех участников рынка: продавцов, операторов по обработке данных, эквайеров, эмитентов и поставщиков услуг. Кроме того, стандарта распространяется на организации, которые в той или иной мере взаимодействуют с данными держателей карт или конфиденциальными аутентификационными данными.

Фото: Thales Cloud Security

В чем заключаются основные различия между PCI DSS версии 3.2.1 и версии 4.0? Новая версия 4.0 вносит значительные изменения в подход к защите данных держателей карт, отличаясь от предыдущей версии 3.2.1 по ряду ключевых аспектов.

Индивидуальный подход к безопасности

PCI DSS 4.0 отказывается от жесткой модели "контрольного списка", предоставляя организациям возможность разрабатывать решения с учетом специфики их бизнес-среды и уровня риска. Это позволяет компаниям демонстрировать соответствие требованиям, используя методы, наиболее подходящие для их бизнес-модели.

Безопасность как непрерывный процесс

Новый стандарт подчеркивает, что обеспечение безопасности – это постоянная работа, а не единоразовое достижение. Версия 4.0 требует регулярного мониторинга, тестирования и адаптации систем безопасности.

Повышенная гибкость в реализации

Несмотря на сохранение базовых требований безопасности, PCI DSS 4.0 предоставляет организациям больше свободы в их реализации, открывая возможности для инновационных решений в области защиты данных.

Расширенные меры аутентификации

Особое внимание в новой версии уделяется надежной аутентификации для доступа к критическим системам и данным. PCI DSS 4.0 стимулирует внедрение многофакторной аутентификации (MFA) во всех возможных случаях.

Усиленное шифрование и криптографическая архитектура

Стандарт предоставляет более четкие рекомендации по управлению зашифрованными данными держателей карт и подчеркивает важность надежной криптографической инфраструктуры, включая правильное управление ключами и использование современных стандартов шифрования.

Фото: Thales Cloud Security

Новые требования PCI DSS усиливают требования к безопасности PIN-кодов и криптографических ключей Стандарт PCI DSS в первую очередь касается комплексной безопасности данных, тогда как стандарт PCI PIN фокусируется конкретно на защите персональных идентификационных номеров, используемых в платежных транзакциях. Последняя версия, PCI PIN 3.1, вводит обновления, касающиеся функций ввода ключей.

С 1 января 2024 года вступает в силу обязательное требование: любой аппаратный модуль безопасности (HSM), применяемый в производственных средах, должен использовать устройство загрузки ключей, сертифицированное по стандарту безопасности транзакций PCI PIN (PCI PTS). По сути, это запрещает использование стандартного оборудования для управления открытыми компонентами криптографических ключей, даже в защищенных помещениях.