簡介
2014年1月1日生效,並且,商家可以選擇在整個2014年按照舊版本遵守合規性,但在2015年這個選項將會失效,所有商家必須證明其PCI DSS 3.0合規性。
服務提供商管理
由於PCI DSS是契約義務,而不是法律,該標準並不直接適用於那些沒有進入信用卡商戶協定的實體。然而,大多數企業依賴於外部服務來處理器部分信用卡操作。因此,PCI DSS也擴展到了這些實體,考慮他們作為服務提供商,並要求商家與代表他們存儲、處理或傳輸信用卡信息的任何服務提供商簽訂書面協定。這些書面協定必須要求服務提供商遵守PCI DSS的規定。
服務提供商的概念可以追溯到PCI DSS的最早版本,並且,商家總是被要求保持服務提供商名單,與這些提供商簽訂書面協定,以及持續監控這些提供商的合規狀況。PCI DSS 3.0為涉及服務提供商的商家提出了新要求。根據12.8.5中的規定,商家需要維持這些信息,即哪些PCI DSS要求是商家的責任,以及哪些是服務提供商的責任。
當更新文檔來遵守這個新規定時,企業應主要依賴於服務提供商。畢竟,他們正在為其產品組合中的每個客戶回答相同的問題。很多服務提供商準備了詳細的文檔來概述他們PCI DSS合規的範圍,以及留在商家手裡的責任。在某些情況下,這些檔案是由合格安全性評估機構(QSA:Qualified Security Assessors)準備。企業可以依靠這些檔案並保存它們作為合規材料的一部分。
滲透測試的嚴謹性
PCI DSS的11.3要求一貫規定,企業在每年以及重大變更後對其環境執行內部和外部滲透測試。在其2014年PCI合規報告中,Verizon指出滲透測試是其所有客戶合規率最低的控制,只有不到40%的商家滿足滲透測試要求,並適當地記錄了其控制。
對此,PCI組織在PCI DSS 3.0中提高了滲透測試要求的嚴格性。除了要求年度和變更後測試外,該標準現在要求公司自己指明測試的細節信息。這些測試必須由合格的獨立測試者執行並基於行業標準做法,測試需要涵蓋整個持卡人數據環境、整合分段控制測試,以及滿足11.3要求內包含的其他詳細規範。
當企業升級其滲透測試控制時,首先應檢查執行測試的實體。如果員工在管理該測試,企業將需要讓審計人員確認該員工有資格執行測試,並且,該測試人員在組織上獨立於負責部署和維護安全控制的人員。該測試者能否滿足11.3中的很多新規定呢?如果不能,企業最好聘請專業的滲透測試公司來滿足這一要求。
物理安全更新
PCI DSS 3.0還變更了持卡人數據處理位置的物理安全要求。這個新要求9.3提高了圍繞允許現場人員進入敏感區域的嚴謹度。企業現在必須明確對個人的授權訪問,並且,這種訪問許可權僅為滿足個人的工作職能。此外,企業必須部署程式以在終止時立即撤銷物理訪問。企業應該審查其在這些區域的當前程式,並採取措施在必要時更新它們。
同時,9.9要求給企業帶來一個更加困難的物理安全挑戰。這個新規定涵蓋了銷售點卡交易中使用的支付卡刷卡終端的物理安全性。企業必須保持這些設備的完整清單(包括序列號),並定期進行設備檢查,以確保它們沒有被篡改或者更換。操作終端設備的人員必須接受培訓,以減少未經授權篡改的可能性。
具有大量刷卡終端的企業可能更難以滿足9.9要求,特別是當設備分布廣泛時。企業應該花時間來規劃目錄、培訓和檢查方法,以確保他們在明年能夠符合新標準。
