又到这个时候了。PCI DSS(支付卡行业数据安全标准)和PA DSS(付款申请数据安全标准)的2.0版本即将登台亮相。在官方“发布”PCI DSS 2.0之前,人们可以通过查看该标准委员会的“更改情况摘要”文件对此次所做的改动进行了解。(编辑注:本文以更改情况摘要中的信息为蓝本。
) 站在对 PCI(支付卡行业)进行评估的角度,在对标准所做更改的情况进行具体分析之前,在宏观层次上此次更改体现出两个特征:第一点,更改的幅度相对较小。这一点是人们所没预料到的;该领域不少的专家曾预测新的标准会采用“主要版本/次要版本”的模式来进行发布(与软件产品的发布情况类似)。2008年10月PCI DSS ……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
又到这个时候了。PCI DSS(支付卡行业数据安全标准)和PA DSS(付款申请数据安全标准)的2.0版本即将登台亮相。在官方“发布”PCI DSS 2.0之前,人们可以通过查看该标准委员会的“更改情况摘要”文件对此次所做的改动进行了解。(编辑注:本文以更改情况摘要中的信息为蓝本。)
站在对 PCI(支付卡行业)进行评估的角度,在对标准所做更改的情况进行具体分析之前,在宏观层次上此次更改体现出两个特征:第一点,更改的幅度相对较小。这一点是人们所没预料到的;该领域不少的专家曾预测新的标准会采用“主要版本/次要版本”的模式来进行发布(与软件产品的发布情况类似)。2008年10月PCI DSS 1.2发布,此后许多人估计今年发布的2.0“主要版本”将会是彻底的改变,但结果却与人们预测的不符。该标准委员会把标准的成熟化作为改动相对较少的原因。因此,企业可以做出这样的预测:未来发布的标准改动将会更少。在过去的五年里,该标注的1.x版本反复出现,导致改动相当大,这使得一些企业遭受了沉重的打击,对他们而言出现上述情况也不失为一件好事。
第二点,更改的执行时间也很合理。换句话说,在企业被要求就它们如何实施了这些标准的更改而进行陈述前,企业还有充分的反应时间。因为这些标准的更改要到2011年才生效,留给他们还有一年的时间。在进行升级评估前,企业还有充分的时间来确保自身的环境处于良好的状态中。
但这些可以带来积极效果的进展不应该成为安全和规则遵从(compliance)管理人员偷懒的借口。尽管大部分的改动意味着控制范围的缩小,但一些较小部分反而会产生更大的冲击。因为这些小部分会涉及到企业目前的业务流程、规则遵从符合的范围,以及企业以往对控制的理解情况。所以,现在正是采取行动、查看更改、对企业的规则遵从计划进行调整的好时机。这时候采取行动将事半功倍。
翻译
相关推荐
-
关于POS终端安全 PCI做了哪些要求?
PCI DSS包括对POS终端安全的要求。在本文中,专家Mike Chapple将解释如何理解PCI对于POS终端的要求,并就此的最佳安全实践给出建议。
-
PCI DSS 3.1发布:商家需提供详尽的新SSL安全管理计划
新版本的支付卡行业数据安全标准(PCI DSS)已经发布,其中不仅要求商家做好准备摆脱有问题的数据加密协议,还要求提供有关他们打算如何实现这种转变的详细计划。
-
如何采取衡量的方法来进行自动化渗透测试?
快要被渗透测试压垮?很多人都是这样。面对PCI DSS、业务合作伙伴和客户需求或者类似责任,对渗透测试的需求的浪潮永无止境……
-
PCI DSS:为什么漏洞评估和渗透测试那么难?
2014年Verizon PCI合规报告对世界各地的PCI DSS合规状态进行了评估。令人惊讶的是,该报告发现“要求11”的合规率最低,尽管很多安全专业人士认为这是该报告中最直接的规定之一,该要求规定企业应对安全系统和流程定期进行测试。