Совет PCI на своем официальном сайте опубликовал пояснения касательно хранения проверочных значений (CVV2, CVC2, CID, CAV2) платежных карт в аудиозаписях.

В частности, консул еще раз обозначил, что хранение проверочных значений является прямым нарушением требования 3.2.2. В связи с этим запрещается использовать любые формы цифровых аудиозаписей (wav, mp3 и т.д.) для хранения проверочных значений, так как эти данные могут быть без труда извлечены с использованием свободно доступного программного обеспечения.

Также необходимо убедиться, что архивы аудиозаписей не содержат в себе проверочных значений, и при необходимости произвести их удаление.

Исключением могут служить аудиозаписи в аналоговом формате в связи со сложностью извлечения данных, но при этом к таким записям необходимо применять все требования стандарта по физической защите и ограничению логического доступа.

Ряд производителей предоставляет коммерческие программно-аппаратные решения аудиозаписи, предотвращающие хранение или производящие удаление кодов CAV2, CVC2, CVV2 или CID и прочих данных платежных карт. Все прочие записи, содержащие данные платежных карт, которые были получены в ходе работы call-центров, должны быть защищены в соответствии со стандартом PCI DSS, включая требование 3.4.

Компания Visa опубликовала “best practices” в области шифрования данных (Data Field). Текст содержит ряд рекомендаций по построению надежной системы шифрования данных, включая:

• ограничение передачи открытых данных;
• управление ключевой информацией;
• использование надежных криптоалгоритмов и ключей шифрования;
• защита устройств, используемых для выполнения криптографических операций;
• использование альтернативных идентификаторов счета клиента.

Текст рекомендаций доступен в открытом доступе на сайте Visa

Платежная система MasterCard внесла изменения в программу Site Data Protection (SDP), чтобы помочь торгово-сервисным предприятиям (ТСП), сторонним процессингам (Third Party Processors, TPPs) и организациям хранения данных (Data Storage Entities, DSEs) соответствовать стандарту безопасности индустрии платежных карт PCI DSS. Изменения в программе включают:

• изменения в структуре оценки несоответствия SDP;
• новое требование для ТСП 1 и 2 уровня — необходимо приглашать компанию, имеющую статус PCI QSA, для проведения onsite-аудита;
• изменение в классификации — все сторонние процессинги независимо от объема транзакций и организации хранения данных с количеством транзакций более 300 000 в год классифицируются как сервис-провайдеры 1 уровня;
• изменение в классификации — организации хранения данных с ежегодным объемом менее 300 000 транзакций классифицируются как сервис-провайдеры 2 уровня;
• предоставление отчетов с использованием Приоритезированного подхода (Prioritized Approach).

Опубликован перечень minor-изменений в стандарте PCI DSS от версии 1.2 к версии 1.2.1

На сайте Консула PCI доступны обновленные версии стандартов PCI DSS 1.2.1 и PA-DSS 1.2.1. Изменения новых версий носят незначительный характер и направлены на коррекцию текста стандарта с точки зрения орфографии и уточнения терминологии для установления соответствия с сопроводительными документами.

С полным списком изменений в версиях вы можете ознакомиться непосредственно в новых версиях на первых страницах текста стандарта.