对于还没有升级其支付卡处理系统来满足PCI DSS 3.0要求的企业,现在所剩时间已经不多了。虽然新版本的标准于2014年1月1日生效,并且,商家可以选择在整个2014年按照旧版本遵守合规性,但在2015年这个选项将会失效,所有商家必须证明其PCI DSS 3.0合规性。你的企业已经准备好应对了吗? 在这篇文章中,我们来看看PCI 3.0中的三个主要变化以及让你的企业满足合规所需采取的步骤。 服务提供商管理 由于PCI DSS是合同义务,而不是法律,该标准并不直接适用于那些没有进入信用卡商户协议的实体。
然而,大多数企业依赖于外部服务来处理器部分信用卡操作。因此,PCI DSS也扩展到了这些实体……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在这篇文章中,我们来看看PCI 3.0中的三个主要变化以及让你的企业满足合规所需采取的步骤。
服务提供商管理
由于PCI DSS是合同义务,而不是法律,该标准并不直接适用于那些没有进入信用卡商户协议的实体。然而,大多数企业依赖于外部服务来处理器部分信用卡操作。因此,PCI DSS也扩展到了这些实体,考虑他们作为服务提供商,并要求商家与代表他们存储、处理或传输信用卡信息的任何服务提供商签订书面协议。这些书面协议必须要求服务提供商遵守PCI DSS的规定。
服务提供商的概念可以追溯到PCI DSS的最早版本,并且,商家总是被要求保持服务提供商名单,与这些提供商签订书面协议,以及持续监控这些提供商的合规状况。PCI DSS 3.0为涉及服务提供商的商家提出了新要求。根据12.8.5中的规定,商家需要维持这些信息,即哪些PCI DSS要求是商家的责任,以及哪些是服务提供商的责任。
当更新文档来遵守这个新规定时,企业应主要依赖于服务提供商。毕竟,他们正在为其产品组合中的每个客户回答相同的问题。很多服务提供商准备了详细的文档来概述他们PCI DSS合规的范围,以及留在商家手里的责任。在某些情况下,这些文件是由合格安全性评估机构(QSA:Qualified Security Assessors)准备。企业可以依靠这些文件并保存它们作为合规材料的一部分。
渗透测试的严谨性
PCI DSS的11.3要求一贯规定,企业在每年以及重大变更后对其环境执行内部和外部渗透测试。在其2014年PCI合规报告中,Verizon指出渗透测试是其所有客户合规率最低的控制,只有不到40%的商家满足渗透测试要求,并适当地记录了其控制。
对此,PCI组织在PCI DSS 3.0中提高了渗透测试要求的严格性。除了要求年度和变更后测试外,该标准现在要求公司自己指明测试的细节信息。这些测试必须由合格的独立测试者执行并基于行业标准做法,测试需要涵盖整个持卡人数据环境、整合分段控制测试,以及满足11.3要求内包含的其他详细规范。
当企业升级其渗透测试控制时,首先应检查执行测试的实体。如果员工在管理该测试,企业将需要让审计人员确认该员工有资格执行测试,并且,该测试人员在组织上独立于负责部署和维护安全控制的人员。该测试者能否满足11.3中的很多新规定呢?如果不能,企业最好聘请专业的渗透测试公司来满足这一要求。
物理安全更新
PCI DSS 3.0还变更了持卡人数据处理位置的物理安全要求。这个新要求9.3提高了围绕允许现场人员进入敏感区域的严谨度。企业现在必须明确对个人的授权访问,并且,这种访问权限仅为满足个人的工作职能。此外,企业必须部署程序以在终止时立即撤销物理访问。企业应该审查其在这些区域的当前程序,并采取措施在必要时更新它们。
同时,9.9要求给企业带来一个更加困难的物理安全挑战。这个新规定涵盖了销售点卡交易中使用的支付卡刷卡终端的物理安全性。企业必须保持这些设备的完整清单(包括序列号),并定期进行设备检查,以确保它们没有被篡改或者更换。操作终端设备的人员必须接受培训,以减少未经授权篡改的可能性。
具有大量刷卡终端的企业可能更难以满足9.9要求,特别是当设备分布广泛时。企业应该花时间来规划目录、培训和检查方法,以确保他们在明年能够符合新标准。
结论
企业担心遵守PCI DSS 3.0版本所需做的工作太多而无法在2014年年底之前完成,不过,这些企业可以稍微松一口气:有些PCI DSS 3.0控制的合规最后期限有所延迟。这些控制包括11.3章节的更新的渗透测试要求和9.9中终端物理安全要求,它们被认为是最佳做法,而且要到2015年7月1日才变为强制性。
PCI DSS 3.0为企业带来了新的合规责任,但这些都不是不可克服的。现在花时间进行差距评估将帮助缓解2015年合规最后期限到来时的过渡负担。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
Mozilla安全开源基金:让Heartbleed历史不再重演
Mozilla公司公共政策负责人Chris Riley在博客中表示Mozilla安全开源基金将会为某些广泛使用的开源库和程序的关键开源软件项目提供安全审计、修复和验证。
-
从最新的SEC风险预警中,我们能借鉴什么?
美国证券交易委员会(SEC)合规检查和考核办公室最近发布了风险预警,该预警为金融服务公司进一步提供了网络安全指导,着重关注证券公司和投资顾问客户信息的保护。从中我们能借鉴到什么?
-
什么样的社交媒体合规问题在困扰着企业?
Nexgate发布了一份名为《国家社交媒体基础设施第三部分:关于财富100强公司社交媒体的合规性》的报告,从中我们可获取的最大收获是什么?
-
当研究PCI渗透测试指南时,你应该注意这六个方面
对于企业来说,遵守PCI渗透测试要求是个长久以来的挑战。在本文中,Kevin Beaver探讨了最近发布的PCI SSC渗透测试指南以及它将如何帮助企业克服PCI困境。