企業(yè)需要評估PCI DSS 3.0要求，并為2015年6月30日的強制性改變做好準備。本文中專家Mike Chapple討論了如何為最后期限備戰(zhàn)。

[[135619]]

兩年前，企業(yè)在評估PCI DSS 3.0變化帶來的影響時，可能注意到有一組要求被標記為“在2015年6月30日之前，要求X為最佳做法，而在該日期之后，該要求將變成強制性要求”。如果企業(yè)當時的回應是“我們可晚點再處理”，那么現在，企業(yè)要注意這個時刻即將到來。

當PCI SSC在2013年11月發(fā)布最終PCI DSS 3.0標準時，他們意識到有些要求修改會對企業(yè)帶來非常顯著的影響，所以，他們向商家和服務提供商提供了20個月的寬限期來慢慢適應這些變化。本文中我們將看看這些即將變?yōu)閺娭菩砸蟮目蛇x要求及其對企業(yè)的影響。

順便提一下，PCI SSC最近發(fā)布了PCI DSS 3.1版，此更新版本主要涵蓋對不安全的SSL/TLS協(xié)議的使用，并不會改變這些延遲的PCI DSS 3.0要求。雖然說，你應該為PCI DSS 3.1制定計劃，但你首先要解決這些要求。

讀卡設備的物理安全

Requirement 9.9要求商家“保護通過直接物理解除來獲得支付卡數據的設備，防止設備被篡改和替換”。這一要求旨在防止略讀和其他攻擊技術篡改讀卡器本身，該要求適用于有卡交易的商家。

如果企業(yè)有銷售點終端設備允許客戶或員工刷卡支付，則企業(yè)還有一個月的時間來滿足這一要求。企業(yè)需要遵守以下政策，并進行文檔記錄，這包括：維護所有刷卡設備的庫存清單、定期檢查這些設備以及對人員進行培訓，讓他們了解物理安全的重要性以及設備篡改帶來的風險。

滲透測試方法更新

在PCI DSS 3.0中，最大的變化之一是Requirement 11.3中滲透測試方法的嚴謹性。PCI委員會開始規(guī)范滲透測試的范圍以及測試人員使用的技術。在6月30號之后進行的所有測試必須遵循新的標準。

企業(yè)在重新設計測試方法期間，應該仔細閱讀該標準中的詳細內容，下面是其中的基本要求：首先，企業(yè)必須使用業(yè)界公認的方法進行測試，PCI委員會推薦NIST SP800-115.其次，測試必須包括對所有持卡人數據環(huán)境組件的內部和外部測試，包括范圍縮減技術，例如網絡分段。第三，包括網絡和應用層測試。最后，企業(yè)必須讓測試結合風險評估，并且，按照正式的保留時間表來保存測試和修復結果的文檔。

身份驗證和會話管理

在最新版本的OWASP十大Web應用安全威脅中，糟糕的身份驗證和會話管理被評為當今Web應用面臨的第二大威脅。對此，PCI DSS在PCI DSS 3.0的6.5.10要求中新增了緩解這種風險的內容，讓開發(fā)人員重新審視自己的工作，并將6月30日定為最后期限。

該標準建議開發(fā)人員遵循安全編碼做法。Web應用開發(fā)人員必須標記會話令牌為安全，從可能保存在日志中的URL刪除會話ID，以及在身份驗證后輪換會話ID并設置過期時間。這可能需要對Web應用的大幅修改，因此現在是時候該行動了。

針對服務提供商的另外兩個PCI要求

這些是在6月份新要求變成強制要求之前所有商家都需要做的工作。在另一方面，服務提供商還需要解決兩個額外的要求。第一個是要求8.5.1，該要求適用于遠程訪問客戶系統(tǒng)的服務提供商，其中要求服務提供商為每位客戶使用獨特的登錄憑證，而不是對所有賬戶使用共享主密碼。

服務提供商還必須遵守12.9節(jié)中的新要求。這個要求更偏向行政方面，要求他們向客戶發(fā)送書面通知，說明服務提供商代表客戶對他們存儲、處理或傳輸的持卡人數據的PCI DSS合規(guī)性負責。

還有不到一個月的時間，這些新要求將變成強制性要求?，F在企業(yè)是時候開始行動，遵循PCI DSS 3.0標準了--特別是因為現在PCI DSS 3.1已經成為現實。