PCI Council nas je podario novom verzijom standarda koja, kao i prethodna ne donosi veće promjene za organizacije. Uz izmjene koje se tiču pojašnjavanja pojedinih zahtjeva standarda (nazivaju se „clarifications“), izmjene se odnose na:

  • novi zahtjev za pružatelje usluga koji moraju dokumentirati kriptografsku arhitekturu (3.5.1), detektirati i izvješćivati o greškama u sigurnosnim kontrolama (10.8), vršiti penetracijska testiranja svakih 6 mjeseci (11.3.4.1), jasno dokumentirati zaduženja za PCI DSS sukladnost (12.4) te kvartalno potvrđivati sukladnost sa PCI DSS zahtjevima od strane odgovornih osoba u operacijama (12.11),
  • proces upravljanja promjenama mora obuhvatiti procjenu utjecaja na PCI DSS sukladnost (6.4.6),
  • udaljeni pristup (sve što nije konzolni pristup) sada mora koristiti višefaktorsku autentifikaciju (8.3).

Sve promjene su obvezne za primjenu najkasnije do 1.2.2018. godine osim za rješavanje rizika vezanog za TLS 1.0 protokol koji mora biti uklonjen do 1.7.2018.. Za one koji se prvi put kane certificirati, do 31.10.2016. to još mogu napraviti po prethodnoj verziji standarda (3.1.).

Osim novih zahtjeva, u standard su ukomponirane i neke edicije dokumenata koje su prethodno bile samostalne (npr. Designated Entities Supplemental Validation – DESV).

 |  Ispis stranice