В опубликованных Советом документах приведен перечень изменений, которые разделены на три следующие категории:
Требование,
на которое
распространяется
изменение |
Цель изменения |
Планируемое
изменение |
Категория |
| PCI DSS Введение |
Уточнить применимость стандарта PCI DSS и понятие данных о держателях карт. |
Уточняет, что Требования PCI DSS 3.3 и 3.4 применимы только к PAN. |
Уточнение |
| PCI DSS Область применения |
Гарантировать, что все хранилища ДДК включены в область аудита на соответствие PCI DSS. |
Поясняет, что все хранилища и потоки ДДК должны быть идентифицированы и документированы, чтобы гарантировать точное определение границ среды ДДК. |
Дополнительное разъяснение |
| PCI DSS Введение и различные требования |
Предоставить разъяснения по виртуализации. |
Расширяет определение компонентов информационной инфраструктуры, чтобы включить виртуальные компоненты. Обновляет требование 2.2.1, чтобы уточнить связь требования «один сервер - одна основная функция» с использованием виртуализации. |
Дополнительное разъяснение |
| PCI DSS Требование 1 |
Разъяснение DMZ. |
Предоставляет разъяснение по защите границ между Интернет и средой ДДК. |
Уточнение |
| PCI DSS Требование 3.2 |
Уточнить применимость PCI DSS к банкам-эмитентам и поставщикам услуг в области эмиссии. |
Устанавливает, что у банков-эмитентов есть оправданная с точки зрения бизнеса потребность в хранении критичных аутентификационных данных. |
Уточнение |
| PCI DSS Требование 3.6 |
Разъяснить процессы управления ключами шифрования. |
Разъясняет процессы изменения ключей, отзыва ключей и применения раздельного знания и двойного контроля, и делает их более гибкими. |
Уточнение |
| PCI DSS Требование 6.2 |
Применить подход, основанный на анализе рисков, к управлению уязвимостями. |
Обновляет требования, чтобы разрешить определение приоритетов уязвимостей на основе анализа рисков. |
Развитие требования |
| PCI DSS Требование 6.5 |
Объединить требования, чтобы устранить их избыточность, а также добавить дополнительные примеры стандартов безопасного программирования, чтобы учесть не только OWASP. |
Включает требование 6.3.1 в требование 6.5 чтобы устранить избыточность требований по безопасному программированию приложений внутреннего использования и веб-ориентированных приложений. Включает примеры дополнительных стандартов безопасного программирования, такие как CWE и CERT. |
Уточнение |
| PCI DSS Требование 12.3.10 |
Уточнить понятия удаленного копирования, перемещения и хранения ДДК. |
Обновляет требование, чтобы разрешить обоснование потребностями бизнеса копирования, перемещения и хранения ДДК при удаленном доступе. |
Уточнение |
| PA-DSS |
Платежные приложения на терминальных устройствах. |
Предоставляет дополнительное разъяснение о применимости PA-DSS к терминальным устройствам. |
Дополнительное разъяснение |
| PA-DSS Требование 4.4 |
Платежные приложения должны поддерживать централизованное протоколирование событий. |
Добавляет требование к платежным приложениям о поддержке централизованного протоколирования событий в соответствии с требованием PCI DSS 10.5.3. |
Развитие требования |
| PA-DSS Требования 10 и 11 |
Объединить требования PA-DSS 10 и 11. |
Объединяет требования PA-DSS 10 и 11 (требования об удаленном обновлении и доступе), чтобы устранить избыточность. |
Уточнение |
Стандарты PCI DSS и PA-DSS версии 2.0 будут представлены Советом PCI SSC в октябре 2010 года.
