2019-11-26 09:44:22
PCI DSS v4.0
تغییرات اصلی نسخه ۴ استاندارد PCIDSS
#PCICM2019
یکی از مهمترین مطالبی که در کنفرانس PCI Community 2019 در دوبلین مطرح شد و البته پیش از آن نیز از طریق PCI Council به اطلاع ارزیابان و QSA ها رسیده بود، استاندارد PCIDSS v4.0 و آماده سازی آن برای سال ۲۰۲۰ میباشد.
همانطور که میدانید استاندارد PCIDSS v3 به همراه چند زیرورژن های آن، ۶ سال پیش و در سال ۲۰۱۳ منتشر شد. صنعت پرداخت مدتها است که منتظر نسخهی اصلی جدیدی از این استاندارد است که به زودی با عنوان نسخه ۴ منتشر میشود. PCI Council به تازگی از طریق انتشار RFC (Request for Comment) از ارزیابان درخواست مشارکت و اعلام نظراتشان را نسبت به پیشنویس این نسخه اعلام داشته است. از این طریق میتوانیم ایدههایی را برای تغییرات این نسخه مطرح کنیم.
اجازه بدهید از اهداف تعریف شده برای این نسخه شروع کنیم:
• اطمینان از اینکه این استاندارد نیازمندیهای امنیتی صنعت پرداخت را برآورده میکند.
• ارتقا جایگاه امنیت به عنوان یک فرایند مستمر و مداوم
• توسعه روشهای ارزیابی و صحهگذاری
• افزودن انعطاف بیشتر و روشها و تکنولوژیهای جدید برای ارتقای امنیت
@pci_radio
بنابراین براساس چهار نکتهی فوق و مشخصا پشتیبانی بیشتر برای شرکتها جهت انطباق با این استاندارد، میتوان گفت مهمترین تغییرات «شخصیسازی» و «رویکرد مبتنی بر هدف» خواهند بود. البته چنین تغییراتی رویکرد فعلی را در خصوص فرآیند ارزیابی، تغییر نخواهد داد. سازمانها قادر خواهند بود از رویکردهای جدید یا گذشته یکی را انتخاب کنند یا از ترکیبی از آنها استفاده نمایند.
رویکرد «شخصی سازی شده» بر روی هدف هر یک از الزامات استاندارد تکیه دارد که پاسخ سوال «چرا؟» و نه «چگونه؟» نسبت به هر یک از الزامات میباشد که به سازمانها اجازه میدهد کنترلهای مخصوص خودشان را پیادهکنند و نشاندهند که چگونه اهداف الزام استاندارد را رعایت نمودهاند. اینکه سازمانها نسبت به انتخاب رویکرد از پیش تعریف شده یا رویکرد شخصیسازی شده، حق انتخاب دارند، به آنها این امکان را میدهد که بتوانند الزامات استارندارد را راحتتر پیاده سازی کرده و محدود به تفسیر استاندارد نشوند.
رویکرد شخصیسازی شده، بیشتر مناسب سازمانهایی است که از لحاظ فرآیندهای مدیریت ریسک بلوغ بالایی دارند. همچنین نیازمند شرکتهای QSAای میباشند که قادرند فرآیند ارزیابی مشخصی را براساس رویکرد مشتری تطبیق دهند. یکی از مهمترین نکات رویکرد شخصیسازی شده این است که دیگر نیازی به «کنترل جبرانی» نخواهد بود چرا که سازمانها دیگر نیازی به آوردن توجیه کسبوکاری یا فنی برای استفاده از آن نخواهند داشت و استاندارد به صورت پیشفرض این انعطاف را درخود خواهد داشت.
نسخه ۴ این استاندارد همچنین توضیحات مربوط به ستون Guidance را مفصلتر نموده و همچنین هدف هر یک از الزامات را به تفصیل بیشتری بیان نموده است. علاوهبراین الزامات جدیدی را نیز در آن میتوان دید که به تازگی اضافه شدهاند که البته نیاز است حداقل دوبار چرخه RFC برای تصویب آنها طی شود. بنابراین احتمالا همهی آنها را در نسخه نهایی نخواهیم دید.
در فرصتی مناسب درخصوص تغییرات الزامات در نسخه ۴ بیشتر برای شما خواهم نوشت.
البته لازم به ذکر است که به نظر نمیرسد این استاندارد تا پیش از انتهای سال ۲۰۲۰ به نسخه نهایی برسد. البته بسته به حجم بازخوردها ممکن است حتی تا اوایل ۲۰۲۱ نیز طول بکشد.
در نهایت، ارزیابان و فعالان صنعت از این استاندارد استقبال نمودهاند. بخصوص رویکرد جدید آن در فرآیند صحهگذاری بسیار حائز اهمیت و توجه است که فرآیند ارزیابی و صحهگذاری را سرعت بخشیده و احتمالا شرکتهای بیشتری را برای پیادهسازی و ارزیابی ترغیب خواهد کرد.
در صورت نیاز به اطلاعات بیشتر در خصوص استانداردهای PCIDSS با من در تماس باشید. @afshar_a_a
t.me/pci_radio
109 views06:44