PCI 2.0给企业带来了哪些坏处?

日期: 2010-11-24 作者:Diana Kelley翻译:杨帆 来源:TechTarget中国 英文

PCI 2.0:不太好的消息   关于PCI DSS 2.0的好消息我们的告诫是,该标准的新版本在保持跟进许多新技术方面做的并不好。就新兴的新技术给出指导是具有挑战的,因为就新技术的本身而言它们还没有像成熟的技术那样广泛使用,并且行业还没有就最佳实践达成共识。由于采用新的技术,存在合规要求分裂品牌的风险。   请记住,PCI DSS从来不是一个合规程序;它是一个标准基线,用于评估五大信用卡品牌(Visa、MasterCard、American Express、Discover和JCB)的合规性。

他们同意使用该标准作为基础来用于各自实际的合规程序。时至今日,这五大主要信用卡品牌仍然保持对合规性的……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

PCI 2.0:不太好的消息

  关于PCI DSS 2.0的好消息我们的告诫是,该标准的新版本在保持跟进许多新技术方面做的并不好。就新兴的新技术给出指导是具有挑战的,因为就新技术的本身而言它们还没有像成熟的技术那样广泛使用,并且行业还没有就最佳实践达成共识。由于采用新的技术,存在合规要求分裂品牌的风险。

  请记住,PCI DSS从来不是一个合规程序;它是一个标准基线,用于评估五大信用卡品牌(Visa、MasterCard、American Express、Discover和JCB)的合规性。他们同意使用该标准作为基础来用于各自实际的合规程序。时至今日,这五大主要信用卡品牌仍然保持对合规性的最终决定权,并且当他们觉得适宜时能凌驾于PCI DSS和PA DSS之上实施自己的合规要求。但PCI DSS的初衷是建立贸易商和零售商可以遵守的唯一标准,因为多个标准很难管理和实施。PCI DSS的本意是整合所有程序,缓解实施中消耗的时间。

  但是五大品牌达成一个核心标准的问题是,对于标准的变化需要经过许多参与者的评审和同意。因为委员会是运作在社区模型之上(鼓励PCI DSS社区所有成员的参与并了解他们的反馈),参与者从五大品牌扩展到社区的所有成员。因为评审和修改PCI DSS的任务十分消耗时间,委员会宣布了三年的修订周期,从今年开始。在IT安全中三年是一个漫长的时间,并且由于技术不断出现,贸易商和零售商需要相应的指导。

  为解决新兴的技术问题,委员会建立了特别利益组(SIG)来调查新的技术和发布指导文档。当文档完成后,可以在委员会的web站点上作为“信息增刊”来访问。第一期增刊在2008年2月发布并应对要求6.6:代码评审和应用防火墙,紧接着是2008年3月的要求11.3:渗透测试和2009年6月的PCI DSS无线指导。其它特别利益组当前正在致力于预授权、虚拟化和范围的增刊和指导。列表不断增长的增刊来自于品牌自身;一个例子就是2010年7月Visa发布了两个最佳实践文档(当前还处于RFC阶段),同PCI DSS中的PAN 截断和PAN标记化直接相关。

  多个文档带来的问题是它们正在倒退到 PCI DSS产生之前的情况:也就是一系列没有关联的要求文档而不是唯一的源头。

  所以概述起来,必须满足PCI DSS合规的实体可以舒口气了。PCI DSS2.0版本没有提出重大的变化;如果组织当前已经满足PCI DSS了,那么对于2.0来说也没有问题。大部分的变化只涉及到重要方面的措辞解释和额外的指导,例如如何有效地限制评估的范围。

  然而有限的变化带来的代价是:新兴的技术如虚拟化、截断和标记化没有包含在PCI DSS 2.0中。安全标准委员会正采用特别利益组和增刊的方式来应对新兴的技术,这意味这组织必须寻找和参考多个文档来得到全面的指导。Visa发布的用于标记化和截断的最佳实践为脱离SSC和PCI DSS开了先河,使得事情更加复杂化。

  为了坚持PCI DSS作为唯一标准的初衷,众多品牌和安全标准委员会必须整合文档并删除多余的信息。同时,评审PCI DSS 2.0版本并关注增刊和来自Visa的最佳实践以确保在CDE中使用的所有的技术(成熟的和新兴的)都是满足合规要求的。

  PCI 2.0为企业带来了哪些好处?

  PCI DSS 2.0版本的变化及其影响

相关推荐