Comentarios a la versión de PCI DSS
En estos momentos nos encontramos en la etapa 6 del ciclo de vida de PCI DSS, "Feedback Review" o revisión de comentarios y el PCI Security Standard Council ha publicado un resumen de los comentarios que ha recibido [PDF] que me ha parecido interesante porque, se supone, que la nueva versión del estándar incluirá modificaciones y/o aclaraciones, sobre todo, en esos puntos.
Los puntos más comentados (suponen más de la mitad del total, el 54%) han sido los siguientes:
Los puntos más comentados (suponen más de la mitad del total, el 54%) han sido los siguientes:
- Requerimiento 11.2 [13%] - Prescribir el uso de herramientas específicas, solicitar a los ASV la realización de escaneos internos y definir que supone un "cambio significativo".
- Alcance [10%] - Proporcionar una guía detallada para definir el alcance y la segmentación.
- Requerimiento 12.8 [8%] - Clarificar los términos "proveedor de servicios" y "compartido" y proporcionar unos requerimientos más prescriptivos para los acuerdos escritos que aplican a los proveedores de servicio.
- SAQs [8%] - Considerar actualizar los SAQs; son, o bien, demasiado complejos (difíciles de comprender) o bien no son suficientemente detallados.
- Requerimiento 3.4 [8%] - Los requerimientos de gestión de clave y de cifrado son complejos; proporcionar una mayor claridad. El truncado / tokenizado / hashing no es un método conveniente para almacenar y recuperar datos; proporcionar mayor guía.
- Requerimiento 8.5 [7%] - Considerar actualizar los requisitos de las contraseñas (expandir la autenticación más allá de las contraseñas). Los requisitos actuales sobre contraseñas son muy o poco estrictos; ser más o menos prescriptivos.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!