PCI DSS 4.0.1 и управление уязвимостями

PCI DSS 4.0.1 и управление уязвимостями

PCI DSS 4.0.1 и управление уязвимостями. Провёл сегодня закрытый вебинар для ИБ-специалистов из банков СНГ про управление уязвимостями в контексте актуального PCI DSS v4.0.1 (вышел в июне 2024, обязателен с 31 марта 2025).

Расклады там следующие:

🔹 Привычные квартальные сканы периметра силами ASV-провайдеров остаются ().

🔹 Также нужно сканировать внутрянку не реже раза в квартал (), 🆕 делать это обязательно с аутентификацией (). Сканить можно самим без привлечения QSA/ASV, но не должно быть конфликта интересов - админам поручать сканирование их же систем нельзя ().

🔹 Непосредственно в документе устанавливаются срок устранения критичных уязвимостей - месяц (). Для других уровней исправлять "within an appropriate time frame" в соответствии с политиками организации.

🔹 Игнорировать некритичные уязвимости нельзя. Ко всем нужно регулярно обращаться и отслеживать изменение критичности ().

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Captcha
captcha
Reload