Опубликован перечень minor-изменений в стандарте PCI DSS от версии 1.2 к версии 1.2.1

Изменения, вошедшие в стандарт PCI DSS (в англоязычной версии):

1. Добавлено предложение: «PCI DSS requirements are applicable if a Primary Account Number (PAN) is stored, processed, or transmitted. If a PAN is not stored, processed, or transmitted, PCI DSS requirements do not apply» (требования PCI DSS применяются, только в случае хранения, обработки или пересылки номеров платежных карт, в противном случае требования не применимы) которое было исключено при переходе на версию 1.2 стандарта

(5-я страница)

2. В графе «процедура тестирования» пунктов 6.3.7.а и 6.3.7.b исправлено «then» на «than»

(1.2: …reviewed by individuals other then the originating code author…, 1.2.1: …reviewed by individuals other than the originating code author…)

(32-я страница)

3. Удалено серое заполнение колонок пункта 6.5.b

(33-я страница)

4. Предложение «Use this worksheet to define compensating controls for any requirement where „YES“ was checked and compensating controls were mentioned in the „Special“ column» (Данная таблица используется для определения компенсационных мер для пунктов в графе «Special» которых отмечено выполнение требования посредством реализации компенсационных мер) изменено на «Use this worksheet to define compensating controls for any requirement noted as „in place“ via compensating controls» (Данная таблица используется для определения компенсационных мер для пунктов, отмеченных в графе «выполняется» как требования покрываемые компенсационными мерами)

(64-я страница)

Изменения, вошедшие в стандарт PA-DSS (в англоязычной версии):

1. Содержание раздела «Scope of PA-DSS» согласованно с PA-DSS Program Guide v1.2.1 (страница v, vi)

2. Исправлена опечатка в наименовании организации OWASP (было «QWASP»)

(30-я страница)

3. Изменен список Payment Application Functionality в соответствии с PA-DSS Program Guide v1.2.1, в примечании добавлено предложение «For the annual re-validation, the software vendor can complete, sign, and submit this form. The PA-QSA is not required to sign the annual re-validation» (32 и 33-я страницы)

Изменения, вошедшие в стандарт PA-DSS Program Guide (в англоязычной версии):

1.В разделе «To which Applications does PA-DSS Apply?», добавлена дополнительная информация детализирующая понятие «payment application» (9-я страница)
2.Дополнены разделы «Related Publications» и «Release Agreement and Delivery of Report» (4 и 12-я страницы)
3.В разделе «Scope of PA-DSS» добавлено уточнение области применимости стандарта PA-DSS для приложений. (9-я страница)
4.Дополнен раздел «Fees» (13-я страница)
5.В таблице раздела «Overview of PA-DSS Processes» добавлен столбец с ссылками на сопряженные разделы (14-я страница)
6.Изменена терминология, так теперь схема «PA-DSS Changes to Listed Applications» переименована в «PA-DSS Minor Updates to Listed Applications» (16-я страница)
Введены понятия «minor update», «major update» и «no update» (страницы 21, 22, 37)

7.Предложение «Not acceptable for new deployments» заменено на «Acceptable only for pre-existing (страницы 17, 18, 23, 24, 35)
8.В разделе «PA-DSS Report Acceptance Process Overview» строчка «release agreement» изменена на «vendor release agreement» в соответствии с разделом «Legal Terms and Conditions» (20-я страница)
9.В разделе «Renewing Expired Applications» во втором пункте добавлено предложение «This provides assurance to those already using the payment application that the application is compliant» (Это обеспечивает гарантии соответствия приложения стандарту, для тех, кто уже использует их) (23-я страница)
10.Изменения в разделах «Payment Applications undergoing PABP Reviews During Transition» и «PA-DSS Transition Procedures»: удалены сноски:
— If a payment application is evaluated against PABP Version 1.4 and submitted prior to October 15, 2008, and there are quality issues with the report, an exception will be made. That application can continue its review according to PABP Version 1.4 until the quality issues are resolved. Exceptions of this type will be permitted until April 15, 2009.

— Reviewed per the Payment Application Best Practices (PABP), Versions 1.3 or 1.4

— Reviewed per the Payment Application Data Security Standard (PA-DSS), Version 1.1

(страницы 24, 25)

11.Уточнен список полей в «Payment Application Identifier» в разделе «PA-DSS Reporting Processes» и Приложении A, добавлены поля:
— Payment Application Type (тип приложения)

— Target Market, if applicable (целевые потребители, если применимо)

— Reference Number (номер)

— Self-Attestation for Minor Update, if applicable (самоаттестация при незначительных обновлениях, если применимо)

— Description Provided by Vendor (описание от вендора)

— Components Included in Review (рассматриваемые компоненты)

(страницы 28, 32)

12.Переименован и дополнен раздел «Notification Following a Security Breach or Compromise» в «Notification Following a Security Breach, Compromise, or Known Vulnerability» (29-я страница)
Изменен язык изложения в разделе «Legal Terms and Conditions» в соответствии с PA-DSS Vendor Release Agreement (31-я страница)