3.4: Защита хранимых данных

Подробное описание

Требование 3.4 PCI DSS 4.0 регулирует доступ к полному номеру основного счёта (PAN) на уровне отображения и копирования. Организации должны ограничить возможность просмотра полных данных карт только персоналом с обоснованной деловой необходимостью. Маскирование PAN (отображение не более первых шести и последних четырёх цифр) должно применяться во всех системах, где полный номер не требуется для выполнения бизнес-функций. Технические средства контроля доступа должны предотвращать несанкционированное копирование или экспорт данных держателей карт из систем хранения.

Практические шаги внедрения

1. 1

   Провести инвентаризацию всех систем и интерфейсов, где отображаются данные карт

2. 2

   Настроить маскирование PAN во всех пользовательских интерфейсах (показывать только первые 6 и последние 4 цифры)

3. 3

   Внедрить ролевую модель доступа (RBAC) с минимальными привилегиями для просмотра полного PAN

4. 4

   Установить технические средства защиты от копирования (отключение буфера обмена, watermarking, DLP)

5. 5

   Настроить аудит всех случаев доступа к полным номерам карт с регистрацией пользователя, времени и обоснования

6. 6

   Внедрить двухфакторную аутентификацию для персонала с правами просмотра полного PAN

7. 7

   Проводить ежеквартальный пересмотр прав доступа и деактивацию неактивных учётных записей

Типичные нарушения

• Отображение полного номера карты в интерфейсах поддержки или административных панелях без маскирования

• Отсутствие контроля доступа: любой сотрудник может просматривать полные данные карт

• Возможность экспорта данных в CSV/Excel с полными номерами PAN без ограничений

• Отсутствие логирования случаев доступа к полным данным карт и обоснования просмотра

• Хранение скриншотов или копий данных карт в незащищённых локациях (email, общие папки)

Почему это важно

Проверяемые категории

Связанные контроли