新年伊始,万象更新,伴随着美酒佳肴,支付卡行业数据安全标准(PCI DSS)也迎来了新的要求。
支付卡行业数据安全标准3.0现在已经可以应用于各行各业,尽管其中的一些要求在七月一日前并不要求强制执行,毕竟企业需要一定的时间对标准进行调整。那么今天我们就总结一下,新标准带来了哪些变化。
一、将支付重定向到第三方的在线零售商纳入合规审计范围
新标准引入了许多需要企业予以关注的重要新规定。比如,许多将支付重定向到第三方的在线零售商也将纳入合规审计的范围,即使他们并不接触持卡人数据。
从技术上讲,虽然这些零售商对持卡人数据并不实际进行传输、存储和处理,但他们也会对支付卡的数据流产生影响,所以也将纳入合规审计。支付卡行业数据安全标准3.0为在线零售商规定了更高的透明度要求和持卡人数据安全培训要求,以及完全满足这些新要求所必需的条件。
二、更严格的渗透测试要求
到七月一日,对于更严格的渗透测试方面的要求也将生效。
标准规定,在进行渗透测试时,执行测试的商户或任何其他人,都必须遵循行业标准框架。商户必须确保他们用于对网络、应用程序、数据库以及POS系统进行渗透测试的服务符合新的要求。标准还要求测试人独立,这就意味着系统测试员与系统管理员不能是同一人。还有,如果商户通过架设防火墙对处理卡数据的网络区域进行分割以缩小支付卡行业标准遵从范围的话,根据现在的规定,就必须在渗透测试报告中提供该区域的隔离证明,以保证通过合格安全性评估机构(QSA)对遵从范围缩小的验证。
三、更严格的网络映射要求
与此相关的,在新标准的第一节还包含了更严格的网络映射要求。
一月一日起,对网络映射的要求已经更加严格。现在不能只画一张路由线路图就完事,还需要列出数据流通过网络时的端到端访问权限。也就是说,只列出有多少台路由器是不行的,还必须展示出支持业务的网络基础设施在处理支付卡交易时是如何工作的。
四、增加支付卡读卡器物理安全要求
新的3.0标准还针对支付卡读卡器的物理安全增加了一系列的新要求。
根据这些新要求,接受验证的组织必须通过维护库存清单、定期设备检查、以及进行专门的读卡器安全培训等措施,“保护通过卡片直接物理交互捕获支付卡数据的设备免遭篡改或替换”。这项需求对于地理分散经营模式的大型商户具有特别大的挑战性。
最新的支付卡行业数据安全标准对于支付卡被盗问题虽然未能提出杀手锏式的解决方案,但也突出了一些最容易被网络罪犯所利用问题。商户朋友们应该以新标准为基础,构建一套健壮、多层的包括确定价值数据生存位置风险评估以及诸如漏洞扫描和渗透测试之类的保护数据和服务技术在内的安全策略,不断识别和纠正安全薄弱点,并且还要有足够的人力资源和技能确保其安全控件的安装、更新和正常工作。
通过采用这种安全第一的策略,企业将会对其必须面对的风险水平进行全面的了解,并能够在全面遵循支付卡行业数据安全标准3.0的框架下实现这一通用商业手段。