遵守PCI合規(guī)的大多數(shù)安全專家肯定已經(jīng)知道，PCI安全標準委員會(SSC)已經(jīng)發(fā)布了支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)3.0版。

正如在過去所做的那樣，SSC發(fā)布了PCI DSS 2.0版到3.0版的變更匯總。如果你是商家或者評估者，從現(xiàn)在到1月份，這兩份文件(這個概要以及新版本本身)都應該列在你的閱讀清單中，因為1月份新要求將會生效。

當在2010年推出PCI DSS 2.0版時，該委員會預計，該標準的不斷成熟化會減少對變更的需要，換句話說，隨著標準不斷演變，以及新版本的推出，對新要求的需求應該會減少。因此，并不奇怪的是，PCI DSS 3.0版的變更主要是說明和增補信息，(大部分)并不是新要求。

這就是說，與從PCI DSS 1.2.1版到2.0版的過渡不同，3.0版只有一些變更的(新)要求，這些變更反映了商家和攻擊者的技術(shù)使用方式的變化。具體來說，從PCI DSS 1.2.1版到PCI DSS 2.0版只有兩個變更，從2.0版到3.0版則包含20個。當然，我們不能深入講解每個變更，基于這些變化的范圍(在新要求和增補信息或說明之間)，我們試圖總結(jié)了最受商家關(guān)注的五個方面。具體來說，對于大部分商家(還有評估人員)來說，下面是可能帶來最大影響的五個變更。

第一個方面：穿透測試

也許對現(xiàn)有要求的最明顯的變更是穿透測試要求(11.3)，包括驗證用于隔離持卡人數(shù)據(jù)環(huán)境(CDE)和其他環(huán)境的方法的要求(11.3.4)。這一變化的適用范圍我們已經(jīng)在其他文章中討論過，這部分更新可能給商家?guī)淼奶魬?zhàn)在于這個要求：穿透測試活動(內(nèi)部和外部)現(xiàn)在應該“以行業(yè)認可的穿透測試法為基礎(chǔ)”，例如專門提到的NIST SP 800-115(《信息安全測試與評估技術(shù)指導》)。

好消息是，要求11.3到2015年6月30日才生效，商家們還有一段時間來適應這個變更。壞消息是，很多商家可能難以遵守這個要求，至少在最初階段。為什么這么具有挑戰(zhàn)性呢?主要是因為穿透測試是一個專門的學科，很多商家(特別是較小型商家)沒有內(nèi)部人員能夠有效執(zhí)行穿透測試。商家通常會利用外部服務提供商來滿足穿透測試要求;很多這些服務提供商(不點名)的產(chǎn)品并沒有基于任何規(guī)范的方法。當然，也有服務提供商利用了側(cè)重過程的標準，例如SP 800-115，其中詳細說明了在測試階段需要遵守的具體程序，或者利用以執(zhí)行為重點的技術(shù)標準，例如Penetration Testing Execution Standard或者(對于應用)OWASP Testing Guide(提供技術(shù)指導);但總的來說，這并不是規(guī)范的情況。

正因為如此，商家必須要謹慎選擇穿透測試服務以確保他們選擇的供應商采用的程序遵守行業(yè)認可的方法。作為首要工作，所有準備PCI DSS 3.0合規(guī)計劃的商家都應該采用行業(yè)認可的方法(你企業(yè)認為合適的方法)作為穿透測試請求建議。

第二個方面：系統(tǒng)組件清單

雖然在媒體方面沒有很多討論，但從實際角度來看，另一個可能帶來潛在巨大影響的新要求(2.4)是：“保留一份PCI DSS范圍內(nèi)系統(tǒng)組件的清單。”這里的“系統(tǒng)組件”在該標準的第10頁(PCI DSS要求的范圍)有詳細介紹，但本質(zhì)上它是指持卡人數(shù)據(jù)環(huán)境內(nèi)的所有硬件(虛擬或物理主機及網(wǎng)絡設備)，以及軟件組件(自定義或商業(yè)產(chǎn)品、現(xiàn)成的應用，無論是內(nèi)部還是外部)。

該要求的測試程序明確要求評估員“檢查系統(tǒng)清單，確認已保留一份軟硬件組件列表，并包含各自的功能/用途描述”;也就是說，商家不僅需要記錄持卡人數(shù)據(jù)環(huán)境中所有組件，還需要描述這些組件的功能以及用途。11.1.1要求(與此相關(guān))現(xiàn)在要求商家“保留一份授權(quán)的無線接入點清單，包括業(yè)務理由記錄”。

我們都知道，保持清單的更新并不容易。歷來，商家對保持清單(包括持卡人數(shù)據(jù)位置、可以訪問加密密鑰和持卡人數(shù)據(jù)的人員，以及防火墻規(guī)則和描述)的要求一直難以滿足。為什么呢?因為這種清單經(jīng)常變化，經(jīng)常需要手動工作來準確反映環(huán)境實際組件情況。因此，在沒有自動化的大型或復雜的環(huán)境，維持硬件和軟件組件的可靠清單幾乎成為不可能完成的任務(任何曾經(jīng)試圖努力維護過這種清單的人都能證明這一點)，至少是不容易。

當涉及虛擬化(因為系統(tǒng)組件也包括虛擬鏡像)或者當環(huán)境分布在多個地理位置(大多數(shù)分布式零售店都是這樣)時，更是加劇了這種復雜性。同時，當專有的供應商提供的系統(tǒng)是由外部人員(例如應用供應商或系統(tǒng)集成商)維護時，也會提高復雜性。對于一個本身就難以滿足的要求，這些因素無疑是雪上加霜。毫無疑問，商家們的IT和合規(guī)團隊將需要花大量時間來開發(fā)和鉆研方法以創(chuàng)建和管理這種清單。

第三個方面：供應商關(guān)系

12.8.5和12.9要求現(xiàn)在要求明確由各個服務提供商和實體管理的PCI DSS的信息。例如，如果企業(yè)使用托管數(shù)據(jù)中心供應商，該數(shù)據(jù)中心的物理訪問限制可能由該供應商管理，而對這些位置訪問權(quán)的管理方面可能是由客戶企業(yè)管理。在這種情況下，PCI DSS 3.0要求商家明確同意并以書面形式確認這種與供應商或服務供應商的職責分配。

這種要求意味著，現(xiàn)在商家不僅需要維護供應商清單(這是3.0之前的要求)，以及當其服務與其CDE交互時追蹤其合規(guī)狀態(tài)(也是3.0之前的要求)，而且要明確對于PCI DSS要求，每個適用的供應商的相應的責任分配，還必須與供應商簽署書面協(xié)議。

維持和管理這些不同的要求在實踐中可能具有挑戰(zhàn)性。為什么呢?主要有兩個原因：首先，它涉及檢查所有CDE相關(guān)的供應商(理想情況下，商家有這個清單，因為他們應該在追蹤供應商的PCI合規(guī)狀態(tài));第二，它涉及準確分析每個特定供應商的使用情況。在實踐中，商家必須明確知道供應商或服務供應商在做什么(以確定其范圍)，控制職責應該如何劃分，以及如何創(chuàng)建文檔來描述這些事情。接下來是有趣的部分：讓相關(guān)的服務供應商(注意，他們看待問題的方式可能與你不同)同意并簽署書面協(xié)議。曾經(jīng)參與過供應商協(xié)商的人會告訴你，協(xié)商這些問題(特別是在已經(jīng)與服務供應商簽署合同后)將是耗時的工作，而且可能會出現(xiàn)爭議(這取決于供應商)。

第四個方面：反惡意軟件

要求5.1.2現(xiàn)在要求商家：“對于通常不受惡意軟件影響的系統(tǒng)，需要執(zhí)行定期評估以確定并評估不斷進化的惡意軟件威脅”。這意味著，如果你使用的系統(tǒng)通常不會受到惡意軟件感染(例如大型機或Unix服務器)，你需要部署一個程序確保保持這種狀態(tài)，如果這些平臺出現(xiàn)一些惡意軟件，你需要知道這個情況。要求5.3現(xiàn)在要求必須從管理層獲得明確授權(quán)，才能禁用或更改殺毒機制的運作，并且，這種授權(quán)是有時間限制的。

對于不同的企業(yè)，這些要求可能會有一定的影響，特別是第二個要求。在PCI DSS 2.0中，該標準僅要求部署防病毒軟件，并且它是運行的，還有更新或最新版本，且必須具有生成日志的能力。這些要求是可以滿足的，無論誰安裝這個工具，它是如何被安裝(在合理范圍內(nèi)，只要它不影響上述要求)或如何被配置。但現(xiàn)在事情不是這樣了?，F(xiàn)在，商家必須防止用戶禁用或更改殺毒機制(這可能需要特定的配置)，并需將殺毒系統(tǒng)配置為利用這種能力。這可能同時需要更高水平的技術(shù)規(guī)劃(因為這可能會影響防病毒工具和OS配置)以及部署策略來在整個CDE驗證這種能力。毫無疑問，大多數(shù)商家將會通過更多文書工作來滿足這一要求，但這種變化并不會像上述要求那么難以應對。

第五個方面：物理訪問和PoS機

9.3要求現(xiàn)在要求商家控制現(xiàn)場人員對敏感區(qū)域的物理訪問，這種訪問必須獲得授權(quán)，且根據(jù)個人的工作職能，同時，當訪問終止時，訪問權(quán)應隨即被撤銷。9.9要求現(xiàn)在要求商家“保護通過直接接觸卡本身便可捕獲支付卡數(shù)據(jù)的設備，以避免設備被篡改和替換”。大多數(shù)商家可能已經(jīng)在試圖滿足9.9要求，但如果有商家仍然在零售點使用服務器機柜來存放紙巾，現(xiàn)在可能是時候停止這種行為了。

不過，滿足9.9要求可能有點麻煩。為什么呢?試想一下，從商家的角度來看，哪里最有可能適用：零售點、餐館、醫(yī)生辦公室、食品車、出租車和其他獨特的零售環(huán)節(jié)。這些零售商習慣于“定期檢查”銷售點終端設備(PoS)嗎?例如檢查序列號以確保設備沒有被更換。不太可能。想象一下，對跨多個地理位置分散的零售點進行這種檢查需要付出多少努力。同樣地，用于該要求的測試程序特別明確驗證政策/程序包含“保存一份設備列表”。有多少商家現(xiàn)在有自己的PoS設備列表?雖然這肯定是一個很好的做法，但現(xiàn)實是，很少有商家這樣做。對于站點管理員或零售場所管理者，這一切很可能是全新的概念，可能需要相當多的社會化、準備和人員培訓來全面展開。

總結(jié)

正如你所知道的，對于這些新的和更新的要求，有些商家需要做很多工作。請注意，上述這些并不是唯一的變化，當然，具體使用環(huán)境和企業(yè)文化將會影響企業(yè)對這些要求的滿足。然而，這些是對商家影響最大的PCI DSS 3.0變化，至少在過渡期內(nèi)是這樣。在某些情況下，這些影響是很明顯的(例如穿透測試)，可能對于有些人來說，只有在著手執(zhí)行這些要求(例如盤點系統(tǒng)組件)時，才會意識到這些影響。無論如何，商家必須現(xiàn)在開始規(guī)劃以確保他們已經(jīng)準備好應對這些變化。否則，在2014年或2015年的第一次PCI DSS 3.0評估可能不會是一次愉快的經(jīng)歷。