Що таке Навчання з безпеки PCI DSS
PCI DSS Requirement 12.6 робить формальну програму обізнаності з безпеки обовʼязковою для кожної людини, яка має доступ до cardholder data environment. Ця сторінка покриває перехід на v4.0.1, цільові теми тренувань, названі в 12.6.3, та модель доказів, які Qualified Security Assessors сэмплюють під час Report on Compliance.
Автор Dmytro Koziatynskyi Перевірено
PCI DSS Requirement 12.6 робить формальну програму обізнаності з безпеки обовʼязковою для кожної людини з доступом до cardholder data environment
Payment Card Industry Data Security Standard (PCI DSS) — це базовий рівень безпеки, який підтримує PCI Security Standards Council, заснована у 2006 році пʼятьма основними картковими брендами (Visa, MasterCard, American Express, Discover, JCB). Стандарт застосовується до кожного мерчанта або сервіс-провайдера, який зберігає, обробляє чи передає Account Data (PAN, імʼя власника картки, термін дії, сервісний код) або Sensitive Authentication Data (повні track-дані, CAV2/CVC2/CVV2/CID, PIN-коди та PIN-блоки). Merchant Levels від 1 до 4 встановлюються за річним обсягом транзакцій, при цьому Level 1 несе найбільше навантаження з оцінювання та єдиний обовʼязковий Report on Compliance, підписаний Qualified Security Assessor.
PCI DSS v4.0 опублікували в березні 2022 року, а v4.0.1 вийшла у червні 2024-го. Перехід з v3.2.1 став обовʼязковим 31 березня 2024 року, а другий транш нових вимог v4.0 (спочатку зазначених як best practice) набув чинності 31 березня 2025 року. Очікування щодо тренувань і обізнаності розташовані всередині Requirement 12 — родини політик і програм — і були суттєво розширені в редакції v4.0. Хто працював за щорічним загальним відео й клік-через тестом, що задовольняв оцінювання v3.2.1 у 2018 році, тепер має реальний розрив, який треба закрити.
Requirement 12.6 — це якір: суб'єкт повинен впровадити формальну програму обізнаності з безпеки. Підвимога 12.6.1 вимагає, щоб програма була впроваджена у письмовій формі. 12.6.2 вимагає переглядати програму щонайменше щорічно та оновлювати за потреби для нових загроз і вразливостей. 12.6.3 вимагає, щоб персонал щонайменше раз на рік підтверджував, що ознайомився та зрозумів політику й процедури безпеки, а також щоб отримував цільові навчання з фішингу та іншої соціальної інженерії, прийнятного використання, вибору та захисту паролів і захисту мобільних пристроїв та використання технологій телероботи. Слово personnel охоплює штатних працівників, працівників з частковою зайнятістю, контракторів і будь-яку третю сторону з доступом до cardholder data environment.
Тренування — це найдешевший контроль за PCI DSS із найбільшим ризиком на оцінюванні. QSA не зможе витратити час на конфігурацію вашого фаєрвола, якщо ваші докази обізнаності розвалюються на першому ж сэмплі. Verizon DBIR 2024 пояснює 68% пробоїв незловмисним людським фактором, і майже кожен публічний звіт про форензику PCI-пробою посилається в висновках на дефіцит навчання чи доступу. Решта сторінки веде через структуру підвимог v4.0.1, три названі кейси пробоїв з PCI-наслідками, вісім захисних шарів, на які мапиться RansomLeak, та пакет доказів, який QSA приймають під час Level 1 ROC.
Як PCI DSS регулює обізнаність із безпеки та навчання
Скоуп: cardholder data environment, повʼязані системи та люди з доступом
Скоуп PCI DSS — це cardholder data environment (CDE) плюс будь-який системний компонент, який зберігає, обробляє, передає або може впливати на безпеку даних власників карток. Скоуп людей слідує за даними: кожен працівник, контрактор і третя сторона з доступом до CDE або до систем, що до нього підʼєднуються. Скорочення скоупу (сегментація мережі, токенізація, P2PE, hosted payment pages) зменшує технічний слід, але не знімає вимогу обізнаності для тих, хто все ще торкається PAN. Перше питання, яке ставить кожен QSA під час сэмплювання 12.6, — хто саме потрапляє в скоуп; програма обізнаності має їх назвати.
Requirement 12.6: формальна програма обізнаності з безпеки
Requirement 12.6 вимагає, щоб субʼєкт впровадив формальну програму обізнаності з безпеки, аби забезпечити обізнаність усього персоналу з політикою та процедурами безпеки даних власників карток. Під ним розташовані три підвимоги. 12.6.1 вимагає, щоб програма була формальною та впровадженою; недокументована програма не задовольняє 12.6.1. 12.6.2 вимагає переглядати програму щонайменше щорічно та оновлювати за потреби для нових загроз і вразливостей із доказами перегляду (підпис, дата, скоуп оновлення). 12.6.3 покриває те, що персонал реально отримує: підтвердження, цільові навчання й постійне підкріплення.
Цільові теми тренувань, названі в 12.6.3
Підвимога 12.6.3 явно називає теми тренувань, які повинен отримувати персонал. Фішинг та інша соціальна інженерія, прийнятне використання технологій кінцевого користувача, вибір і захист паролів та захист мобільних пристроїв і використання технологій телероботи. Це той перелік, проти якого QSA сэмплює; якщо ваша програма прокручує 30-хвилинне загальне відео, що окремо не охоплює кожну тему, ассесор фіксує це як зауваження. Редакція v4.0 додала явну згадку фішингу та явну згадку мобільних пристроїв і телероботи — обидві у відповідь на патерни атак, які старе формулювання v3.2.1 не покривало.
Щорічне підтвердження персоналу та доказовий сэмпл QSA
Персонал повинен щонайменше раз на рік підтверджувати, що ознайомився та зрозумів політику й процедури безпеки. Це підтвердження — найчастіше сэмпльований доказ усередині Requirement 12. QSA запитують реєстр персоналу, потім сэмплюють імена проти реєстру підтверджень, реєстру завершення тренувань і матриці рольового призначення. Відсутні чи заднім числом проставлені підтвердження — найшвидший спосіб провалити 12.6.3. Сучасні програми збирають підтвердження електронно, ставлять часовий штамп, зберігають версію політики, проти якої користувач підписався, і зберігають журнал у вікно ретенції оцінювання.
Каденція оновлення: щорічний мінімум, після суттєвих змін у CDE, після інцидентів
Щорічно — це підлога, а не стеля. Програму потрібно переглядати й оновлювати за потреби для нових загроз і вразливостей (12.6.2), а персонал повинен отримувати оновлене навчання, коли CDE змінюється суттєво (новий платіжний канал, новий третій-party-процесор, новий вендор токенізації) або після будь-якого інциденту з імплікаціями для обізнаності. QSA, який знайде в реєстрі інцидентів фішинг-керований випадок та жодного відповідного оновлення навчання чи комунікації для персоналу, оформить цей розрив у зауваження. Каденція, яку ведуть найсильніші програми, — це щомісячне мікронавчання з тем 12.6.3 плюс щорічне підтвердження політики.
Зміни PCI DSS v4.0 проти v3.2.1 для обізнаності з безпеки
Формулювання v3.2.1 для Requirement 12.6 було тонким: впровадити формальну програму обізнаності з безпеки, навчати персонал при наймі та щонайменше щорічно, вимагати щорічне підтвердження. Редакція v4.0 додала явний перелік цільових тем у 12.6.3, явну згадку фішингу, згадку мобільних пристроїв і телероботи та явний цикл щорічного перегляду й оновлення в 12.6.2. Дедлайн переходу для нових вимог v4.0 — 31 березня 2025 року; оцінювання після цієї дати рахуються проти розширеного формулювання. Програми, які не оновлювалися з часів v3.2.1, не пройдуть сэмпл v4.0.1.
Реальні кейси PCI DSS-пробоїв із зауваженнями щодо обізнаності з безпеки
Пробій Target 2013 року, 40 млн карток, $202 млн загальних збитків
Зловмисники скомпрометували Fazio Mechanical, HVAC-вендора з віддаленим доступом до систем Target, через фішинговий лист, що доставив малвар Citadel. Облікові дані вендора потім використали для пивоту в мережі Target і розгортання POS-скрапінг малваря на point-of-sale терміналах під час сезону різдвяних покупок. Сорок мільйонів записів платіжних карток було вкрадено разом із персональними даними ще 70 мільйонів клієнтів. Target виплатив $18,5 млн у мультиштатному споживчому врегулюванні, $39,4 млн банкам, а загальна вартість пробою повідомлялася понад $202 млн. Подальша PCI-оцінка послалася на управління третьосторонніми доступами та навчання з обізнаності вендорів із підʼєднаним до CDE доступом; Target посилив третьосторонній онбординг і контролі сегментації в наступні роки.
Пробій Home Depot 2014 року, 56 млн карток, $179 млн врегулювання
Зловмисники використали облікові дані, вкрадені у третього-party HVAC-вендора, щоб отримати доступ до мережі Home Depot, і встановили кастомний POS-скрапінг малвар, який працював пʼять місяців на терміналах самообслуговування у магазинах США та Канади. Пʼятдесят шість мільйонів номерів платіжних карток та 53 мільйони email-адрес було ексфільтровано. Home Depot досяг $179 млн врегулювання, що покривало споживчі позови та збитки банків, поверх внутрішніх витрат на ремедіацію, повідомлених понад $200 млн. PCI-наслідки сфокусувалися на контролях доступу вендорів, сегментації мережі та обовʼязках з обізнаності з безпеки для третьосторонньої робочої сили з обліковими даними всередині CDE-периметра; кейс став одним із найчастіше цитованих прикладів того, як 12.6 (обізнаність) і 12.8 (управління третіми сторонами) взаємодіють.
Пробій Heartland Payment Systems 2008 року, 130 млн карток, понад $140 млн збитків
Зловмисники використали SQL injection проти публічного веб-застосунку, щоб встановити sniffer на процесингових мережах Heartland, і ексфільтрували приблизно 130 мільйонів записів платіжних карток — найбільший на той час відомий пробій карток. Прямі штрафи й врегулювання перевищили $140 млн серед Visa, MasterCard, American Express, Discover та позивачів-банків. Heartland був сертифікований як PCI DSS-сумісний своїм QSA до пробою; подальша оцінювальна робота послалася на навчання з безпеки застосунків, практики безпечного кодування та обізнаність із безпеки серед розробницької робочої сили як на дефіцити. Кейс підштовхнув додавання явних очікувань щодо безпечної розробки в PCI DSS і є канонічним прикладом того, чому навчання 12.6 повинні включати команди розробників, що пишуть код, який торкається PAN.
Як RansomLeak задовольняє вимоги PCI DSS до обізнаності з безпеки
12.6.1: Формальна задокументована програма обізнаності з безпеки
RansomLeak постачає задокументовану структуру програми з названим власником, задокументованим скоупом, задокументованою матрицею рольового навчання й задокументованою каденцією оновлення. Документ програми — це артефакт, який ваш QSA сэмплює, щоб підтвердити, що 12.6.1 впроваджено письмово, а не як усну практику. Ми надаємо шаблон, щоб власник програми всередині вашої функції безпеки чи комплаєнсу не починав із чистого аркуша.
12.6.2: Щорічний перегляд і оновлення для нових загроз і вразливостей
Каталог тренувань випускає нові вправи й оновлює існуючі сценарії на щомісячній каденції, мапированих до поточних технік зловмисників і названих у release-нотатках. Журнал релізів подвоюється як ваш доказ для 12.6.2: датований запис, що показує, що програму переглядали й оновлювали для нових загроз. Той самий журнал — це те, що QSA сэмплює, щоб підтвердити, що щорічний перегляд реально відбувся та був змістовним, а не зміною дати на обкладинці.
12.6.3: Цільові навчання з фішингу та соціальної інженерії
Вправи з фішингу, callback-фішингу, double-barrel фішингу, смішингу, QR-фішингу, deepfake-аудіо, компрометації ділового листування, шахрайства з calendar invite та typosquatting глибоко покривають тему фішингу й соціальної інженерії з 12.6.3. Кожна вправа поміщає того, хто навчається, всередину реалістичного сценарію та закінчується зворотним звʼязком, що називає пропущені сигнали і крок перевірки, який зупинив би атаку. Доказ завершення на одного, хто навчається, задовольняє сэмпл 12.6.3.
12.6.3: Прийнятне використання, вибір паролів, мобільні пристрої та теми телероботи
Mobile Device Security покриває захист мобільних пристроїв і використання технологій телероботи, названих у 12.6.3. MFA Setup Best Practices та Credential Stuffing Awareness покривають вибір і захист паролів. Employee Security Responsibilities та ISMS Policy Awareness покривають прийнятне використання та робочий процес підтвердження політики. Кожна мапиться напряму до названої теми в 12.6.3, тож QSA може простежити призначення навчання назад до стандарту.
12.10: Тренування й репетиція реагування на інциденти
Вправи General Incident Reporting та Reporting Culture тренують людський бік Requirement 12.10. Персонал вчиться розпізнавати інцидент безпеки, повідомляти про нього без затримки через опублікований канал і розуміти, чому розрив між детектуванням і репортом — це вікно, яке використовує супротивник. Вправи також підкріплюють no-blame політику, що тримає високі рейти репортингу; покарання тих, хто репортить, руйнує культуру, потрібну 12.10.
8.3: Гігієна автентифікації та MFA
Вправи MFA Setup Best Practices та MFA Fatigue Attack покривають людський бік Requirement 8.3 і 8.4 (мультифакторна автентифікація для доступу в CDE та для всього адміністративного доступу). Персонал вчиться, як працює MFA fatigue bombing, чому схвалення несподіваного push-запиту дорівнює переданому паролю та чому phishing-resistant фактори (FIDO2, passkeys) перемагають adversary-in-the-middle комплекти, що обходять SMS, push і TOTP.
9.4: Захист медіа й фізичний доступ
USB Drop Attack покриває родину 9.4 із людського ракурсу: залишена USB-флешка на парковці, несподівано доставлений пристрій, конференційний подарунок. Персонал вчиться, чому залишені медіа — це канал доставки payload і чому єдиний безпечний відгук — здати пристрій непрочитаним команді безпеки чи IT. Вправа парується з контролями фізичного доступу, які 9.4 вже вимагає.
6.2: Тренування з безпечної розробки для розробників у скоупі CDE
Вправи Safe GenAI Usage та Unsafe AI Output Handling покривають розробницьку робочу силу, що пише код, який торкається PAN, адресуючи очікування з безпечної розробки 6.2, розширені у v4.0. Інженери вчаться патернам prompt injection і unsafe output handling — режимам відмови, що породжують наступне покоління вразливостей рівня застосунків, про які попереджав кейс Heartland. Вправи постачаються як частина тієї самої програми, тож когорта розробників не залишається сиротою.
Як RansomLeak робить програму обізнаності PCI DSS готовою до QSA
RansomLeak проводить імерсивні, сценарні вправи замість записаних відео і клік-через тестів. Кожна вправа поміщає того, хто навчається, у симульовану поштову скриньку, телефонний дзвінок, SMS-нитку чи відеоконференцію та змушує приймати реальне рішення під реалістичним тиском. Для доказу 12.6.3 ця різниця має значення. QSA, що сэмплює проти теми фішингу 12.6.3, прийме запис завершення на основі відео, але очікування ассесора з часів v4.0 полягає в тому, що персонал реально отримує цільове навчання, яке формує рефлекс перевірки, а не просто сидить на пасивному відтворенні. Записи завершення на основі сценаріїв постачають той самий сигнал задоволення, що й відеозаписи, з готовими до аудиту часовими штампами та колонками ідентифікаторів того, хто навчається, які QSA може сэмплювати.
Програми скоупуються за ролями, а не пошлюються всім підряд. Персонал із доступом до даних карток (касири, AP-персонал, клієнтське обслуговування з обробкою збережених карток, IT-операції на CDE) отримує повний стек 12.6.3 з фішингу, мобільних і прийнятного використання. IT і хелпдеск отримують вішинг, MFA-reset і MFA fatigue сценарії, що драйвували кампанію Scattered Spider 2023 року та патерн 0ktapus. Інженерні команди, що пишуть код, який торкається PAN, отримують сценарії з безпечної розробки та обробки AI-виводу, що мапяться до 6.2. Керівники й фінансове керівництво отримують BEC і deepfake-wire сценарії, що покривають варіант шахрайства з переказом, який зробили відомим кейси Pepco і Arup. Кожне призначення журналюється з ідентифікатором того, хто навчається, слагом вправи, часовим штампом завершення і версією підтвердженої політики.
Експортний пакет — це те, що робить програму готовою до QSA. RansomLeak генерує реєстр завершення на одного, хто навчається, мапінг тем на одну вправу назад до підтем 12.6.3, реєстр підтверджень політики, привʼязаний до задокументованої версії політики, та датований журнал релізів, що доводить, що щорічний перегляд 12.6.2 реально відбувся. Експорти постачаються як CSV і JSON для робочого зошита QSA та як SCORM 1.2 і SCORM 2004 пакети, тож ті самі вправи також лягають у Cornerstone, Workday Learning, Docebo, SAP SuccessFactors або будь-яку LMS, що відповідає стандартам, яку клієнт уже запускає для HR-led тренувань. Власник програми заходить у Level 1 ROC-інтервʼю з пакетом доказів, уже організованим за структурою підвимог 12.6.
Що таке тренінги з безпеки PCI DSS і чого вимагає Requirement 12.6?
Тренінги з безпеки PCI DSS — це формальна програма, яку повинен впровадити кожен мерчант і сервіс-провайдер у скоупі Payment Card Industry Data Security Standard, щоб забезпечити обізнаність персоналу з політикою й процедурами безпеки даних власників карток. Якорем є Requirement 12.6 у PCI DSS v4.0.1 (актуальна на червень 2024). Підвимога 12.6.1 вимагає, щоб програма була формальною та впровадженою письмово; 12.6.2 вимагає щорічного перегляду й оновлення; 12.6.3 вимагає підтвердження плюс цільового навчання з фішингу й соціальної інженерії, прийнятного використання, вибору паролів та мобільних або телероботних технологій.
Перехід на PCI DSS v4.0 був обовʼязковим до 31 березня 2024 року, з другим траншем нових вимог, що набули чинності з 31 березня 2025 року. Скоуп персоналу покриває працівників, контракторів і будь-яку третю сторону з доступом до cardholder data environment. Пробій Target 2013 року (40 млн карток, $202 млн загальних збитків) і пробій Home Depot 2014 року (56 млн карток, $179 млн врегулювання) обидва почалися з фішингом викрадених облікових даних третього-party вендора, і обидві PCI-оцінки послалися на дефіцити навчання й управління доступом.
Qualified Security Assessors (QSA) сэмплюють реєстри персоналу, реєстри підтверджень, журнали завершення тренувань і датований журнал релізів, що доводить, що щорічний перегляд 12.6.2 відбувся. Програми, що випускають щомісячні сценарні вправи, мапировані до переліку тем 12.6.3, проходять сэмпл; програми, що крутять одне щорічне загальне відео, — ні. RansomLeak структурує каталог і експортний пакет за структурою підвимог 12.6, тож Level 1 ROC-інтервʼю відкривається з доказами, вже організованими відповідно.
Рекомендовані вправи
Сценарні симуляції, що задовольняють цей стандарт.
Обовʼязки працівника щодо безпеки
Покриває тему прийнятного використання, названу в 12.6.3, та повʼязує персонал із робочим процесом підтвердження політики, який QSA сэмплюють першим.
Спробувати вправуОбізнаність із політикою ISMS
Проводить персонал через структуру задокументованої політики безпеки, що 12.6.1 вимагає від програми комунікувати, генеруючи запис підтвердження на одного, хто навчається.
Спробувати вправуФішинг
Тренує тему фішингу, явно названу в 12.6.3, — найчастіше сэмпльовану підтему в будь-якому сучасному оцінюванні обізнаності PCI.
Спробувати вправуКомпрометація ділового листування
Проводить фінансові та AP-команди через патерн зміни платіжних інструкцій, що дав $2,9 млрд заявлених збитків за IC3 2023, задовольняючи бік соціальної інженерії 12.6.3.
Спробувати вправуMFA: налаштування й найкращі практики
Покриває бік паролів та автентифікації 12.6.3 і підтримує Requirement 8.3 — мультифакторна автентифікація для доступу в CDE.
Спробувати вправуАтака MFA Fatigue
Тренує патерн push-bombing, що обходить MFA, коли персонал схвалює несподівані запити, — техніка за вторгненнями Uber 2022 року та Scattered Spider 2023 року.
Спробувати вправуБезпека мобільних пристроїв
Покриває тему захисту мобільних пристроїв і використання технологій телероботи, явно додану в 12.6.3 у PCI DSS v4.0.
Спробувати вправуЗагальне репортування інцидентів
Будує рефлекс репортингу, потрібний Requirement 12.10, і no-blame культуру, що тримає поведінку швидкого репорту живою після того, як персонал усвідомив, що клікнув на фішинг-посилання.
Спробувати вправуДодаткове читання
Глибші посібники по дотичних темах.
Дотичні терміни глосарія
Швидкі визначення термінів із цього стандарту.
Часті запитання
Що питають GRC- та security-лідери про цей стандарт.
Що таке PCI DSS Requirement 12.6?
Requirement 12.6 з PCI DSS v4.0.1 каже, що субʼєкт повинен впровадити формальну програму обізнаності з безпеки, аби забезпечити обізнаність усього персоналу з політикою й процедурами безпеки даних власників карток. Це якірна вимога з обізнаності з безпеки всередині PCI DSS, що застосовується до кожного мерчанта чи сервіс-провайдера у скоупі стандарту.
Під нею розташовані три підвимоги. 12.6.1 вимагає, щоб програма була формальною та впровадженою письмово. 12.6.2 вимагає щорічного перегляду й оновлення для нових загроз і вразливостей. 12.6.3 вимагає, щоб персонал щонайменше раз на рік підтверджував політику й отримував цільове навчання з фішингу й соціальної інженерії, прийнятного використання, вибору паролів та мобільних або телероботних технологій.
Чи вимагає PCI DSS щорічного навчання з обізнаності з безпеки?
Так. Підвимога 12.6.3 вимагає, щоб персонал щонайменше раз на рік підтверджував, що ознайомився та зрозумів політику й процедури безпеки, та отримував цільове навчання з тем, названих у стандарті. Щорічно — це підлога, не стеля. Підвимога 12.6.2 окремо вимагає, щоб саму програму переглядали й оновлювали щорічно для нових загроз і вразливостей.
Найсильніші програми ведуть щомісячне мікронавчання з тем 12.6.3 з щорічним підтвердженням політики, бо техніка зловмисників зсувається всередині 12-місячного вікна швидше, ніж одна щорічна сесія може встигнути. Каденція вище щорічної підлоги також генерує датований журнал релізів, який QSA сэмплює, щоб підтвердити, що перегляд 12.6.2 реально відбувся.
Кому потрібне навчання PCI DSS (працівникам, контракторам, третім сторонам)?
Стандарт використовує слово personnel, що покриває штатних працівників, працівників з частковою зайнятістю, контракторів і будь-яку третю сторону з доступом до cardholder data environment. Пробій Target 2013 року й пробій Home Depot 2014 року обидва почалися з облікових даних, вкрадених у третіх-party вендорів із підʼєднаним до CDE доступом; обидва PCI-наслідки послалися на обовʼязки з обізнаності для цієї третьосторонньої робочої сили.
Скорочення скоупу (сегментація, токенізація, P2PE, hosted payment pages) зменшує технічний слід, але не знімає вимогу навчання для тих, хто все ще торкається PAN. Перше питання, яке ставить QSA під час сэмплювання 12.6, — хто саме потрапляє в скоуп; програма обізнаності має їх назвати та показати записи тренувань для кожного.
Які докази шукають QSA під час оцінювання PCI DSS?
QSA сэмплюють чотири артефакти під час перегляду 12.6. Задокументована програма (12.6.1) з названим власником, скоупом, матрицею рольового навчання та каденцією оновлення. Датований журнал перегляду (12.6.2), що доводить, що програму переглядали й оновлювали щонайменше щорічно для нових загроз. Реєстр підтверджень (12.6.3), що повʼязує персонал із версією політики, проти якої вони підписалися, та датою. Реєстр завершення тренувань (12.6.3), що повʼязує персонал із цільовими темами, які вони отримали.
Реєстр персоналу потім сэмплюється проти кожного реєстру. Відсутні чи заднім числом проставлені записи — найшвидший спосіб провалити 12.6.3. Сучасні програми збирають електронні підтвердження з часовим штампом, журналюють завершення на одного, хто навчається, на одну вправу з версією політики та зберігають записи на оцінювальне вікно, в якому працює субʼєкт.
Що змінилося в PCI DSS v4.0 для обізнаності з безпеки?
PCI DSS v4.0 опублікували в березні 2022 року, а v4.0.1 вийшла у червні 2024-го, актуальна на сьогодні. Формулювання v3.2.1 для Requirement 12.6 було тонким: впровадити програму, навчати щорічно, вимагати щорічне підтвердження. Редакція v4.0 суттєво розширила формулювання. 12.6.2 додала явну вимогу щорічного перегляду й оновлення. 12.6.3 додала явний перелік цільових тем: фішинг та інша соціальна інженерія, прийнятне використання, вибір і захист паролів та захист мобільних пристроїв і використання технологій телероботи.
Перехід з v3.2.1 став обовʼязковим 31 березня 2024 року, а другий транш нових вимог v4.0 (спочатку зазначених як best practice) набув чинності 31 березня 2025 року. Програми, що не оновлювалися проти розширеного формулювання 12.6 з ери v3.2.1, не пройдуть сэмпл v4.0.1.
Які цільові теми тренувань вимагаються за 12.6.3?
Підвимога 12.6.3 явно називає чотири теми, з яких персонал повинен отримувати цільове навчання. Фішинг та інша соціальна інженерія. Прийнятне використання технологій кінцевого користувача. Вибір і захист паролів. Захист мобільних пристроїв і використання технологій телероботи. Кожну тему QSA сэмплює окремо; одне загальне відео, що не називає жодну з них поіменно, не задовольнить 12.6.3.
Найсильніші програми постачають окрему вправу на кожну тему, журналюють завершення на одного, хто навчається, на одну вправу та тримають документ мапінгу теми-до-підвимоги, тож QSA може простежити кожен запис завершення назад до стандарту. Редакція v4.0 додала явну згадку фішингу та згадку мобільних пристроїв і телероботи — обидві у відповідь на патерни загроз, які старе формулювання v3.2.1 пропустило.
Чим навчання PCI DSS відрізняється від обізнаності SOC 2 чи ISO 27001?
SOC 2 та ISO 27001 обидва вимагають навчання з обізнаності з безпеки (CC1.4 у SOC 2, A.7.2.2 в ISO 27001), але формулювання базоване на принципах і дає субʼєкту широку свободу щодо тем, каденції й формату доказів. PCI DSS Requirement 12.6 — приписовий: він називає теми, називає каденцію (щорічний мінімум), називає аудиторію (персонал із доступом до CDE, включно з третіми сторонами), а QSA сэмплює до опублікованого очікування, а не до власного визначення субʼєкта.
На практиці програми, що комфортно тримають PCI DSS, також комфортно тримають SOC 2 та ISO 27001; зворотне не завжди вірно. Програма SOC 2, скоупована до одного щорічного all-hands відео, може пройти аудит SOC 2 і все одно провалити сэмпл тем PCI 12.6.3. Двосторонній мапінг має значення, коли та сама робоча сила в скоупі для обох стандартів.
Чи тригерить ecommerce-доступ лише через код до PAN досі 12.6?
Так. Requirement 6.2 покриває безпечну розробку програмного забезпечення, і будь-який розробник, що пише код, який обробляє, зберігає чи передає дані власників карток, перебуває у скоупі і 6.2, і 12.6. Пробій Heartland Payment Systems 2008 року (130 млн карток, понад $140 млн збитків) почався з SQL injection-вразливості в публічному веб-застосунку; подальша PCI-оцінка послалася на навчання з безпеки застосунків і практики безпечного кодування у розробницькій робочій силі як на дефіцити.
Hosted payment pages, redirect-потоки та iframe-інтеграції зменшують поверхню застосунку, але не знімають вимогу обізнаності для інженерних команд, що все ще пишуть навколишній код. Найсильніші програми включають розробницьки скоупований трек всередині програми 12.6.3 із покриттям безпечного кодування, категорій OWASP та (з v4.0.1) патернів AI-кодувальних асистентів і prompt injection, які старе формулювання стандарту не передбачало.
Джерела та матеріали для подальшого читання
Першоджерела, на які посилається сторінка, та суміжні рекомендації.
- PCI SSC Document Library — PCI Security Standards Council
- PCI DSS v4.0.1 Quick Reference Guide — PCI Security Standards Council
- Information Supplement: Best Practices for Implementing a Security Awareness Program — PCI Security Standards Council
- 2024 Data Breach Investigations Report — Verizon
- Cost of a Data Breach Report 2024 — IBM
Зробіть цей стандарт audit-ready
Запишіться на 30-хвилинну демонстрацію. Ми підберемо послідовність вправ, логіку призначень і експорт доказів, який очікує ваш аудитор.