גירסה 2.0 של תקן ה- (PCI DSS ו-PCI PA) PCI הוכרזה לפני מספר ימים ע"י ה-Payment Card Industry Security Standard Council.
השאלונים העדכניים ומסמכים רלוונטיים נוספים - בכלל זה מסמכי הבהרה ותקצירי העידכונים והשינויים אל מול הגירסה הקודמת כבר זמינים להורדה מאתר המועצה.
הגירסה החדשה - PCI DSS 2.0 - תהיה בתוקף החל מ-1.1.2011; עם זאת, תאימות מלאה לגירסה החדשה תידרש עד 31.12.2011. הגירסה החדשה לא תעבור כל שינויים עד שנת 2014.
הגירסה החדשה מכילה 12 שינויים קלים, בשלוש קטגוריות עיקריות:
- הבהרה (Clarification): הבהרה של כוונת הדרישה/סעיף. שינוי נוסח הדרישה כך שתהיה בהירה וברורה יותר.
- הנחיה נוספת (Additional Guidance): מספקת מידע נוסף על נושא ספציפי בכדי לחדד את כוונת הדרישה/סעיף.
- דרישה מעודכנת: עידכון סעיף/דרישה בכדי לשקף שינויים בשוק ולהתמודד מול איומים חדשים.
העידכונים העיקריים כוללים:
- חידוד הצורך במיפוי מדוייק של כל המקומות ברשת בהם מאוחסנים מספרי ופרטי כרטיסי האשראי.
- דרישה לניהול קבצי לוג מרכזי (Log Management) של אפליקציית התשלום.
- דרישה להטמעת גישה מבוססת סיכונים לטיפול בפרצות אבטחה, אשר תאפשר לאירגונים לקבוע את רמת הסיכון הנובעת מפרצות האבטחה - ובהתאם לכך לתעדף את הטיפול בפרצות - על-פי הקשרים עסקיים.
- חיזוק הקשר בין הדרישות מן האירגון הכפוף ל-PCI DSS לבין הדרישות מספק אפליקציית התשלום (PCI PA) בכדי להקשיח את רמת האבטחה.
ככלל, כוללת הגירסה החדשה שינויים מינוריים יחסית, אשר עיקר מטרתם הינה לחדד את הדרישות, להבהירן, ולאפשר רמת אבטחה גבוהה יותר.
לידיעות המקוריות (אנגלית) -
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1522765,00.html?track=NL-102&ad=795224&asrc=EM_NLN_12785471&uid=4277383
http://www.bankinfosecurity.com/articles.php?art_id=3043
http://www.darkreading.com/database_security/security/app-security/showArticle.jhtml?articleID=228000298
http://www.sitepoint.com/forums/showthread.php?p=4727262
לפרסום המקורי של ה-PCI Council -
https://www.pcisecuritystandards.org/pdfs/pr_101028_standards_2.0.pdf
למסמך המציג את עיקרי השינויים -
https://www.pcisecuritystandards.org/pdfs/summary_of_changes_highlights.pdf