新年伊始，萬(wàn)象更新，伴隨著美酒佳肴，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)也迎來(lái)了新的要求。

　　支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)3.0現(xiàn)在已經(jīng)可以應(yīng)用于各行各業(yè)，盡管其中的一些要求在七月一日前并不要求強(qiáng)制執(zhí)行，畢竟企業(yè)需要一定的時(shí)間對(duì)標(biāo)準(zhǔn)進(jìn)行調(diào)整。那么今天我們就總結(jié)一下，新標(biāo)準(zhǔn)帶來(lái)了哪些變化。

　　一、將支付重定向到第三方的在線零售商納入合規(guī)審計(jì)范圍

　　新標(biāo)準(zhǔn)引入了許多需要企業(yè)予以關(guān)注的重要新規(guī)定。比如，許多將支付重定向到第三方的在線零售商也將納入合規(guī)審計(jì)的范圍，即使他們并不接觸持卡人數(shù)據(jù)。

　　從技術(shù)上講，雖然這些零售商對(duì)持卡人數(shù)據(jù)并不實(shí)際進(jìn)行傳輸、存儲(chǔ)和處理，但他們也會(huì)對(duì)支付卡的數(shù)據(jù)流產(chǎn)生影響，所以也將納入合規(guī)審計(jì)。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)3.0為在線零售商規(guī)定了更高的透明度要求和持卡人數(shù)據(jù)安全培訓(xùn)要求，以及完全滿足這些新要求所必需的條件。

　　二、更嚴(yán)格的滲透測(cè)試要求

　　到七月一日，對(duì)于更嚴(yán)格的滲透測(cè)試方面的要求也將生效。

　　標(biāo)準(zhǔn)規(guī)定，在進(jìn)行滲透測(cè)試時(shí)，執(zhí)行測(cè)試的商戶或任何其他人，都必須遵循行業(yè)標(biāo)準(zhǔn)框架。商戶必須確保他們用于對(duì)網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)庫(kù)以及POS系統(tǒng)進(jìn)行滲透測(cè)試的服務(wù)符合新的要求。標(biāo)準(zhǔn)還要求測(cè)試人獨(dú)立，這就意味著系統(tǒng)測(cè)試員與系統(tǒng)管理員不能是同一人。還有，如果商戶通過(guò)架設(shè)防火墻對(duì)處理卡數(shù)據(jù)的網(wǎng)絡(luò)區(qū)域進(jìn)行分割以縮小支付卡行業(yè)標(biāo)準(zhǔn)遵從范圍的話，根據(jù)現(xiàn)在的規(guī)定，就必須在滲透測(cè)試報(bào)告中提供該區(qū)域的隔離證明，以保證通過(guò)合格安全性評(píng)估機(jī)構(gòu)(QSA)對(duì)遵從范圍縮小的驗(yàn)證。

　　三、更嚴(yán)格的網(wǎng)絡(luò)映射要求

　　與此相關(guān)的，在新標(biāo)準(zhǔn)的第一節(jié)還包含了更嚴(yán)格的網(wǎng)絡(luò)映射要求。

　　一月一日起，對(duì)網(wǎng)絡(luò)映射的要求已經(jīng)更加嚴(yán)格?，F(xiàn)在不能只畫(huà)一張路由線路圖就完事，還需要列出數(shù)據(jù)流通過(guò)網(wǎng)絡(luò)時(shí)的端到端訪問(wèn)權(quán)限。也就是說(shuō)，只列出有多少臺(tái)路由器是不行的，還必須展示出支持業(yè)務(wù)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施在處理支付卡交易時(shí)是如何工作的。

　　四、增加支付卡讀卡器物理安全要求

　　新的3.0標(biāo)準(zhǔn)還針對(duì)支付卡讀卡器的物理安全增加了一系列的新要求。

　　根據(jù)這些新要求，接受驗(yàn)證的組織必須通過(guò)維護(hù)庫(kù)存清單、定期設(shè)備檢查、以及進(jìn)行專門(mén)的讀卡器安全培訓(xùn)等措施，“保護(hù)通過(guò)卡片直接物理交互捕獲支付卡數(shù)據(jù)的設(shè)備免遭篡改或替換”。這項(xiàng)需求對(duì)于地理分散經(jīng)營(yíng)模式的大型商戶具有特別大的挑戰(zhàn)性。

　　最新的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)對(duì)于支付卡被盜問(wèn)題雖然未能提出殺手锏式的解決方案，但也突出了一些最容易被網(wǎng)絡(luò)罪犯所利用問(wèn)題。商戶朋友們應(yīng)該以新標(biāo)準(zhǔn)為基礎(chǔ)，構(gòu)建一套健壯、多層的包括確定價(jià)值數(shù)據(jù)生存位置風(fēng)險(xiǎn)評(píng)估以及諸如漏洞掃描和滲透測(cè)試之類的保護(hù)數(shù)據(jù)和服務(wù)技術(shù)在內(nèi)的安全策略，不斷識(shí)別和糾正安全薄弱點(diǎn)，并且還要有足夠的人力資源和技能確保其安全控件的安裝、更新和正常工作。

　　通過(guò)采用這種安全第一的策略，企業(yè)將會(huì)對(duì)其必須面對(duì)的風(fēng)險(xiǎn)水平進(jìn)行全面的了解，并能夠在全面遵循支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)3.0的框架下實(shí)現(xiàn)這一通用商業(yè)手段。