新年伊始，萬象更新，伴隨著美酒佳肴，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)也迎來了新的要求。

　　支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)3.0現(xiàn)在已經(jīng)可以應(yīng)用于各行各業(yè)，盡管其中的一些要求在七月一日前并不要求強(qiáng)制執(zhí)行，畢竟企業(yè)需要一定的時(shí)間對標(biāo)準(zhǔn)進(jìn)行調(diào)整。那么今天我們就總結(jié)一下，新標(biāo)準(zhǔn)帶來了哪些變化。

　　一、將支付重定向到第三方的在線零售商納入合規(guī)審計(jì)范圍

　　新標(biāo)準(zhǔn)引入了許多需要企業(yè)予以關(guān)注的重要新規(guī)定。比如，許多將支付重定向到第三方的在線零售商也將納入合規(guī)審計(jì)的范圍，即使他們并不接觸持卡人數(shù)據(jù)。

　　從技術(shù)上講，雖然這些零售商對持卡人數(shù)據(jù)并不實(shí)際進(jìn)行傳輸、存儲(chǔ)和處理，但他們也會(huì)對支付卡的數(shù)據(jù)流產(chǎn)生影響，所以也將納入合規(guī)審計(jì)。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)3.0為在線零售商規(guī)定了更高的透明度要求和持卡人數(shù)據(jù)安全培訓(xùn)要求，以及完全滿足這些新要求所必需的條件。

　　二、更嚴(yán)格的滲透測試要求

　　到七月一日，對于更嚴(yán)格的滲透測試方面的要求也將生效。

　　標(biāo)準(zhǔn)規(guī)定，在進(jìn)行滲透測試時(shí)，執(zhí)行測試的商戶或任何其他人，都必須遵循行業(yè)標(biāo)準(zhǔn)框架。商戶必須確保他們用于對網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)庫以及POS系統(tǒng)進(jìn)行滲透測試的服務(wù)符合新的要求。標(biāo)準(zhǔn)還要求測試人獨(dú)立，這就意味著系統(tǒng)測試員與系統(tǒng)管理員不能是同一人。還有，如果商戶通過架設(shè)防火墻對處理卡數(shù)據(jù)的網(wǎng)絡(luò)區(qū)域進(jìn)行分割以縮小支付卡行業(yè)標(biāo)準(zhǔn)遵從范圍的話，根據(jù)現(xiàn)在的規(guī)定，就必須在滲透測試報(bào)告中提供該區(qū)域的隔離證明，以保證通過合格安全性評估機(jī)構(gòu)(QSA)對遵從范圍縮小的驗(yàn)證。

　　三、更嚴(yán)格的網(wǎng)絡(luò)映射要求

　　與此相關(guān)的，在新標(biāo)準(zhǔn)的第一節(jié)還包含了更嚴(yán)格的網(wǎng)絡(luò)映射要求。

　　一月一日起，對網(wǎng)絡(luò)映射的要求已經(jīng)更加嚴(yán)格。現(xiàn)在不能只畫一張路由線路圖就完事，還需要列出數(shù)據(jù)流通過網(wǎng)絡(luò)時(shí)的端到端訪問權(quán)限。也就是說，只列出有多少臺(tái)路由器是不行的，還必須展示出支持業(yè)務(wù)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施在處理支付卡交易時(shí)是如何工作的。

　　四、增加支付卡讀卡器物理安全要求

　　新的3.0標(biāo)準(zhǔn)還針對支付卡讀卡器的物理安全增加了一系列的新要求。

　　根據(jù)這些新要求，接受驗(yàn)證的組織必須通過維護(hù)庫存清單、定期設(shè)備檢查、以及進(jìn)行專門的讀卡器安全培訓(xùn)等措施，“保護(hù)通過卡片直接物理交互捕獲支付卡數(shù)據(jù)的設(shè)備免遭篡改或替換”。這項(xiàng)需求對于地理分散經(jīng)營模式的大型商戶具有特別大的挑戰(zhàn)性。

　　最新的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)對于支付卡被盜問題雖然未能提出殺手锏式的解決方案，但也突出了一些最容易被網(wǎng)絡(luò)罪犯所利用問題。商戶朋友們應(yīng)該以新標(biāo)準(zhǔn)為基礎(chǔ)，構(gòu)建一套健壯、多層的包括確定價(jià)值數(shù)據(jù)生存位置風(fēng)險(xiǎn)評估以及諸如漏洞掃描和滲透測試之類的保護(hù)數(shù)據(jù)和服務(wù)技術(shù)在內(nèi)的安全策略，不斷識(shí)別和糾正安全薄弱點(diǎn)，并且還要有足夠的人力資源和技能確保其安全控件的安裝、更新和正常工作。

　　通過采用這種安全第一的策略，企業(yè)將會(huì)對其必須面對的風(fēng)險(xiǎn)水平進(jìn)行全面的了解，并能夠在全面遵循支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)3.0的框架下實(shí)現(xiàn)這一通用商業(yè)手段。