要求

 建议的变化

 类别

 实施影响分析

 PCI DSS介绍

 阐明PCI DSS要求3.3和 3.4只适用于主帐号（PAN）。同PTS的安全读取和数据交互（SRED）模块保持一致。

 解释性说明

 不需要变化；
要求只涵盖到应该已受到保护的PAN。

 评估范畴

 阐明应该识别的持卡人数据的所有存放位置和流向，并记载以确保持卡人数据环境的精确范畴。

 额外的指导性说明

 仅当组织尚未识别所有的PAN实例和没有正确地为CDE划定范围时需要变化。

 PCI DSS介绍和各种要求

 扩展系统组件的定义来包含虚拟组件。
更新的要求2.2.1规定要阐明“每个服务器的一个主要功能”和使用虚拟化的意图。

 额外的指导性说明

 没有变化：虚拟化是可选的。仅当组织打算在CDE中实施虚拟化技术时需要改变。没有需要控制的基础性变化。

 PCI DSS要求1

 提供了互联网和持卡人数据环境之间安全边界的解释。

 解释性说明

 如果公司已在互联网和CDE之间设置恰当的界限则不需要改变。

 PCI DSS要求3.2

 确认发卡人有合法的业务需要来存储敏感的认证数据（SAD）。

 解释性说明

 对于贸易商/零售商没有变化；允许发卡人存储SAD而不违反PCI DSS。

 PCI DSS要求3.6

 阐明加密密钥变更、过期和替换密钥的处理并增加灵活性，使用划分控制和双重认证。

 解释性说明

 没有变化；为密钥管理实践中的已归档数据提供余地。

 PCI DSS要求6.2

 更新要求来允许根据风险对漏洞进行排名和优先级排序。

 演变的要求

 没有变化；优先级排名是可选的。

 PCI DSS要求6.5

 融合要求6.3.1到 6.5中来消除用于内部和面向Web应用的安全编程部分的多余内容。例如CWE和CERT额外的安全编程标准。

解释性说明 

 没有变化；只删除了多余的要求。

 PCI要求12.3.10

 更新需求来为远程访
问中对持卡人数据（CHD）的拷贝、移动和存储提供业务依据。

 解释性说明 

 没有变化；在远程访问中拷贝、移动和存储持卡人数据是可选的操作。