對于還沒有升級其支付卡處理系統(tǒng)來滿足PCI DSS 3.0要求的企業(yè)，現(xiàn)在所剩時間已經(jīng)不多了。雖然新版本的標(biāo)準(zhǔn)于2014年1月1日生效，并且，商家可以選擇在整個2014年按照舊版本遵守合規(guī)性，但在2015年這個選項(xiàng)將會失效，所有商家必須證明其PCI DSS 3.0合規(guī)性。你的企業(yè)已經(jīng)準(zhǔn)備好應(yīng)對了嗎?

[[121060]]

在這篇文章中，我們來看看PCI 3.0中的三個主要變化以及讓你的企業(yè)滿足合規(guī)所需采取的步驟。

服務(wù)提供商管理

由于PCI DSS是合同義務(wù)，而不是法律，該標(biāo)準(zhǔn)并不直接適用于那些沒有進(jìn)入信用卡商戶協(xié)議的實(shí)體。然而，大多數(shù)企業(yè)依賴于外部服務(wù)來處理器部分信用卡操作。因此，PCI DSS也擴(kuò)展到了這些實(shí)體，考慮他們作為服務(wù)提供商，并要求商家與代表他們存儲、處理或傳輸信用卡信息的任何服務(wù)提供商簽訂書面協(xié)議。這些書面協(xié)議必須要求服務(wù)提供商遵守PCI DSS的規(guī)定。

服務(wù)提供商的概念可以追溯到PCI DSS的最早版本，并且，商家總是被要求保持服務(wù)提供商名單，與這些提供商簽訂書面協(xié)議，以及持續(xù)監(jiān)控這些提供商的合規(guī)狀況。PCI DSS 3.0為涉及服務(wù)提供商的商家提出了新要求。根據(jù)12.8.5中的規(guī)定，商家需要維持這些信息，即哪些PCI DSS要求是商家的責(zé)任，以及哪些是服務(wù)提供商的責(zé)任。

當(dāng)更新文檔來遵守這個新規(guī)定時，企業(yè)應(yīng)主要依賴于服務(wù)提供商。畢竟，他們正在為其產(chǎn)品組合中的每個客戶回答相同的問題。很多服務(wù)提供商準(zhǔn)備了詳細(xì)的文檔來概述他們PCI DSS合規(guī)的范圍，以及留在商家手里的責(zé)任。在某些情況下，這些文件是由合格安全性評估機(jī)構(gòu)(QSA:Qualified Security Assessors)準(zhǔn)備。企業(yè)可以依靠這些文件并保存它們作為合規(guī)材料的一部分。

滲透測試的嚴(yán)謹(jǐn)性

PCI DSS的11.3要求一貫規(guī)定，企業(yè)在每年以及重大變更后對其環(huán)境執(zhí)行內(nèi)部和外部滲透測試。在其2014年P(guān)CI合規(guī)報(bào)告中，Verizon指出滲透測試是其所有客戶合規(guī)率***的控制，只有不到40%的商家滿足滲透測試要求，并適當(dāng)?shù)赜涗浟似淇刂啤?/p>

對此，PCI組織在PCI DSS 3.0中提高了滲透測試要求的嚴(yán)格性。除了要求年度和變更后測試外，該標(biāo)準(zhǔn)現(xiàn)在要求公司自己指明測試的細(xì)節(jié)信息。這些測試必須由合格的獨(dú)立測試者執(zhí)行并基于行業(yè)標(biāo)準(zhǔn)做法，測試需要涵蓋整個持卡人數(shù)據(jù)環(huán)境、整合分段控制測試，以及滿足11.3要求內(nèi)包含的其他詳細(xì)規(guī)范。

當(dāng)企業(yè)升級其滲透測試控制時，首先應(yīng)檢查執(zhí)行測試的實(shí)體。如果員工在管理該測試，企業(yè)將需要讓審計(jì)人員確認(rèn)該員工有資格執(zhí)行測試，并且，該測試人員在組織上獨(dú)立于負(fù)責(zé)部署和維護(hù)安全控制的人員。該測試者能否滿足11.3中的很多新規(guī)定呢?如果不能，企業(yè)***聘請專業(yè)的滲透測試公司來滿足這一要求。

物理安全更新

PCI DSS 3.0還變更了持卡人數(shù)據(jù)處理位置的物理安全要求。這個新要求9.3提高了圍繞允許現(xiàn)場人員進(jìn)入敏感區(qū)域的嚴(yán)謹(jǐn)度。企業(yè)現(xiàn)在必須明確對個人的授權(quán)訪問，并且，這種訪問權(quán)限僅為滿足個人的工作職能。此外，企業(yè)必須部署程序以在終止時立即撤銷物理訪問。企業(yè)應(yīng)該審查其在這些區(qū)域的當(dāng)前程序，并采取措施在必要時更新它們。

同時，9.9要求給企業(yè)帶來一個更加困難的物理安全挑戰(zhàn)。這個新規(guī)定涵蓋了銷售點(diǎn)卡交易中使用的支付卡刷卡終端的物理安全性。企業(yè)必須保持這些設(shè)備的完整清單(包括序列號)，并定期進(jìn)行設(shè)備檢查，以確保它們沒有被篡改或者更換。操作終端設(shè)備的人員必須接受培訓(xùn)，以減少未經(jīng)授權(quán)篡改的可能性。

具有大量刷卡終端的企業(yè)可能更難以滿足9.9要求，特別是當(dāng)設(shè)備分布廣泛時。企業(yè)應(yīng)該花時間來規(guī)劃目錄、培訓(xùn)和檢查方法，以確保他們在明年能夠符合新標(biāo)準(zhǔn)。

結(jié)論

企業(yè)擔(dān)心遵守PCI DSS 3.0版本所需做的工作太多而無法在2014年年底之前完成，不過，這些企業(yè)可以稍微松一口氣：有些PCI DSS 3.0控制的合規(guī)***期限有所延遲。這些控制包括11.3章節(jié)的更新的滲透測試要求和9.9中終端物理安全要求，它們被認(rèn)為是***做法，而且要到2015年7月1日才變?yōu)閺?qiáng)制性。

PCI DSS 3.0為企業(yè)帶來了新的合規(guī)責(zé)任，但這些都不是不可克服的。現(xiàn)在花時間進(jìn)行差距評估將幫助緩解2015年合規(guī)***期限到來時的過渡負(fù)擔(dān)。