遵守PCI合规的大多数安全专家肯定已经知道，PCI安全标准委员会（SSC）已经发布了支付卡行业数据安全标准（PCI DSS）3.0版。

正如在过去所做的那样，SSC发布了PCI DSS 2.0版到3.0版的变更汇总。如果你是商家或者评估者，从现在到1月份，这两份文件（这个概要以及新版本本身）都应该列在你的阅读清单中，因为1月份新要求将会生效。

当在2010年推出PCI DSS 2.0版时，该委员会预计，该标准的不断成熟化会减少对变更的需要，换句话说，随着标准不断演变，以及新版本的推出，对新要求的需求应该会减少。因此，并不奇怪的是，PCI DSS 3.0版的变更主要是说明和增补信息，（大部分）并不是新要求。

这就是说，与从PCI DSS 1.2.1版到2.0版的过渡不同，3.0版只有一些变更的（新）要求，这些变更反映了商家和攻击者的技术使用方式的变化。具体来说，从PCI DSS 1.2.1版到PCI DSS 2.0版只有两个变更，从2.0版到3.0版则包含20个。当然，我们不能深入讲解每个变更，基于这些变化的范围（在新要求和增补信息或说明之间），我们试图总结了最受商家关注的五个方面。具体来说，对于大部分商家（还有评估人员）来说，下面是可能带来最大影响的五个变更。

第一个方面：穿透测试

也许对现有要求的最明显的变更是穿透测试要求（11.3），包括验证用于隔离持卡人数据环境（CDE）和其他环境的方法的要求（11.3.4）。这一变化的适用范围我们已经在其他文章中讨论过，这部分更新可能给商家带来的挑战在于这个要求：穿透测试活动（内部和外部）现在应该“以行业认可的穿透测试法为基础”，例如专门提到的NIST SP 800-115（《信息安全测试与评估技术指导》）。

好消息是，要求11.3到2015年6月30日才生效，商家们还有一段时间来适应这个变更。坏消息是，很多商家可能难以遵守这个要求，至少在最初阶段。为什么这么具有挑战性呢？主要是因为穿透测试是一个专门的学科，很多商家（特别是较小型商家）没有内部人员能够有效执行穿透测试。商家通常会利用外部服务提供商来满足穿透测试要求；很多这些服务提供商（不点名）的产品并没有基于任何规范的方法。当然，也有服务提供商利用了侧重过程的标准，例如SP 800-115，其中详细说明了在测试阶段需要遵守的具体程序，或者利用以执行为重点的技术标准，例如Penetration Testing Execution Standard或者（对于应用）OWASP Testing Guide（提供技术指导）；但总的来说，这并不是规范的情况。

正因为如此，商家必须要谨慎选择穿透测试服务以确保他们选择的供应商采用的程序遵守行业认可的方法。作为首要工作，所有准备PCI DSS 3.0合规计划的商家都应该采用行业认可的方法（你企业认为合适的方法）作为穿透测试请求建议。

第二个方面：系统组件清单

虽然在媒体方面没有很多讨论，但从实际角度来看，另一个可能带来潜在巨大影响的新要求（2.4）是：“保留一份PCI DSS范围内系统组件的清单。”这里的“系统组件”在该标准的第10页（PCI DSS要求的范围）有详细介绍，但本质上它是指持卡人数据环境内的所有硬件（虚拟或物理主机及网络设备），以及软件组件（自定义或商业产品、现成的应用，无论是内部还是外部）。

该要求的测试程序明确要求评估员“检查系统清单，确认已保留一份软硬件组件列表，并包含各自的功能/用途描述”；也就是说，商家不仅需要记录持卡人数据环境中所有组件，还需要描述这些组件的功能以及用途。11.1.1要求（与此相关）现在要求商家“保留一份授权的无线接入点清单，包括业务理由记录”。

我们都知道，保持清单的更新并不容易。历来，商家对保持清单（包括持卡人数据位置、可以访问加密密钥和持卡人数据的人员，以及防火墙规则和描述）的要求一直难以满足。为什么呢？因为这种清单经常变化，经常需要手动工作来准确反映环境实际组件情况。因此，在没有自动化的大型或复杂的环境，维持硬件和软件组件的可靠清单几乎成为不可能完成的任务（任何曾经试图努力维护过这种清单的人都能证明这一点），至少是不容易。

当涉及虚拟化（因为系统组件也包括虚拟镜像）或者当环境分布在多个地理位置（大多数分布式零售店都是这样）时，更是加剧了这种复杂性。同时，当专有的供应商提供的系统是由外部人员（例如应用供应商或系统集成商）维护时，也会提高复杂性。对于一个本身就难以满足的要求，这些因素无疑是雪上加霜。毫无疑问，商家们的IT和合规团队将需要花大量时间来开发和钻研方法以创建和管理这种清单。

请继续阅读PCI DSS 3.0对于商家最重要的五方面影响（二）