راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

تغییرات نسخه جدید استاندارد امنیت اطلاعات PCI DSS 3.0

پس از انتشار نسخه ۳٫۰ استاندارد PCI DSS و PA-DSS در هفته گذشته، جهت سهولت در بررسی و آگاهی از تغییرات، فهرست موارد عمده تغییر کرده در استاندارد امنیت اطلاعات در ادامه آمده است:

.

تغییرات در سند استاندارد PCI DSS 3.0:

  • الزام امنیتی ۵-۱-۲: ارزیابی میزان درگیری تهدیدات بدافزارها برای سیستم‌هایی که تا کنون آلوده نشده‌اند.
  • الزام امنیتی ۸-۲-۳: ترکیب حداقل الزامات پیچیدگی و قدرت گذرواژه در یک راه‌کار جایگزین با انعطاف بیشتر.
  • الزام امنیتی ۸-۵-۱: برای ارایه کنندگان خدمات پرداخت که به محل مشتریان از راه‌دور دسترسی دارند، باید دسترسی از طریق مجوزهای احراز هویت یکتا برای هر مشتری، صورت پذیرد.
  • الزام امنیتی ۸-۶: هنگامی که سایر روش‌های احراز هویت مورد استفاده قرار گرفته است (برای مثال، توکن‌های امنیتی فیزیکی یا نرم‌افزاری، کارت‌های هوشمند و …)، این موارد باید حتما به یک حساب کاربری مجزا متصل شود و این اطمینان حاصل گردد که تنها همان کاربر قادر به دسترسی است.
  • الزام امنیتی ۹-۳: بررسی دسترسی‌های فیزیکی به ناحیه‌ها و مکان‌های حساس توسط پرسنل، شامل فرایند اعطای مجوز و لغو آن بلافاصله پس از اتمام فعالیت.
  • الزام امنیتی ۹-۹: حفاظت از دستگاه‌هایی که اطلاعات کارت به صورت تماس فیزیکی را دریافت می‌کنند در مقابل دستکاری و جایگزینی.
  • الزام امنیتی ۱۱-۳ و ۱۱-۴: پیاده‌سازی یک روش برای آزمون‌های نفوذ؛ اگر بخش‌بندی برای ایزوله کردن محیط داده‌های دارنده کارت از سایر شبکه‌ها، مورد استفاده قرار گرفته است، آزمون‌های نفوذ را برای تایید عملکرد صحیح و کارآمدی روش بخش‌بندی، اجرا نمایید.
  • الزام امنیتی ۱۱-۵-۱: پیاده‌سازی فرایندی جهت پاسخ به هرگونه هشدار از طرف مکانیزم‌های کشف تغییرات.
  • الزام امنیتی ۱۲-۸-۵: مدیریت اطلاعات درباره آنچه از الزامات PCI DSS که توسط ارایه‌کننده خدمات پرداخت مدیریت می‌شود و آنچه توسط خود افراد باید مدیریت شود.
  • الزام امنیتی ۱۲-۹: برای ارایه‌کنندگان خدمات پرداخت، یک قرارداد/تفاهم‌نامه برای مشتریان براساس الزام امنیتی ۱۲-۸-۲ تدوین گردد.

.

تغییرات در سند استاندارد PA-DSS:

  • الزام امنیتی ۵-۱-۵: تامین‌کنندگان نرم‌افزار پرداخت باید یکپارچگی کد در فاز توسعه را بررسی تایید کنند.
  • الزام امنیتی ۵-۱-۶: نرم‌افزارهای پرداخت باید براساس روش‌های (best practices) حوزه خود و روش‌های کدنویسی امن، توسعه یابند.
  • الزام امنیتی ۵-۴: تامین‌کنندگان نرم‌افزارهای پرداخت از روش‌های صحیح نسخه‌بندی باید بهره جویند.
  • الزام امنیتی ۵-۵: تامین‌کنندگان نرم‌افزارهای پرداخت باید از روش‌های ارزیابی مخاطرات در فرایند توسعه محصول خود استفاده کنند.
  • الزام امنیتی ۷-۳: تامین‌کنندگان نرم‌افزار باید برای به‌روزرسانی تمامی محصولات خود فهرست تغییرات را منتشر کنند.
  • الزام امنیتی ۱۰-۲-۲: تامین‌کنندگان نرم‌افزار که دسترسی از راه‌دور دارند (برای پشتیبانی/تعمیرات)، باید دسترسی از طریق مجوزهای احراز هویت یکتا برای هر مشتری، صورت پذیرد.
  • الزام امنیتی ۴۱-۱: ارایه آموزش‌های ادواری حداقل سالی یک بار براساس الزامات PA-DSS و فراهم آوردن اطلاعات به‌روز امنیتی انجام شود.

منبع: اخبار امنیت فناوری اطلاعات

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.