PCI DSS 4.0.1 и управление уязвимостями. Провёл сегодня закрытый вебинар для ИБ-специалистов из банков СНГ про управление уязвимостями в контексте актуального PCI DSS v4.0.1 (вышел в июне 2024, обязателен с 31 марта 2025).
Расклады там следующие:
🔹 Привычные квартальные сканы периметра силами ASV-провайдеров остаются ().
🔹 Также нужно сканировать внутрянку не реже раза в квартал (), 🆕 делать это обязательно с аутентификацией (). Сканить можно самим без привлечения QSA/ASV, но не должно быть конфликта интересов - админам поручать сканирование их же систем нельзя ().
🔹 Непосредственно в документе устанавливаются срок устранения критичных уязвимостей - месяц (). Для других уровней исправлять "within an appropriate time frame" в соответствии с политиками организации.
🔹 Игнорировать некритичные уязвимости нельзя. Ко всем нужно регулярно обращаться и отслеживать изменение критичности ().
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.