PCI DSS 3.0合規(guī)將強制執(zhí)行 你準(zhǔn)備好了嗎?
對于還沒有升級其支付卡處理系統(tǒng)來滿足PCI DSS 3.0要求的企業(yè),現(xiàn)在所剩時間已經(jīng)不多了。雖然新版本的標(biāo)準(zhǔn)于2014年1月1日生效,并且,商家可以選擇在整個2014年按照舊版本遵守合規(guī)性,但在2015年這個選項將會失效,所有商家必須證明其PCI DSS 3.0合規(guī)性。你的企業(yè)已經(jīng)準(zhǔn)備好應(yīng)對了嗎?
在這篇文章中,我們來看看PCI 3.0中的三個主要變化以及讓你的企業(yè)滿足合規(guī)所需采取的步驟。
服務(wù)提供商管理
由于PCI DSS是合同義務(wù),而不是法律,該標(biāo)準(zhǔn)并不直接適用于那些沒有進入信用卡商戶協(xié)議的實體。然而,大多數(shù)企業(yè)依賴于外部服務(wù)來處理器部分信用卡操作。因此,PCI DSS也擴展到了這些實體,考慮他們作為服務(wù)提供商,并要求商家與代表他們存儲、處理或傳輸信用卡信息的任何服務(wù)提供商簽訂書面協(xié)議。這些書面協(xié)議必須要求服務(wù)提供商遵守PCI DSS的規(guī)定。
服務(wù)提供商的概念可以追溯到PCI DSS的最早版本,并且,商家總是被要求保持服務(wù)提供商名單,與這些提供商簽訂書面協(xié)議,以及持續(xù)監(jiān)控這些提供商的合規(guī)狀況。PCI DSS 3.0為涉及服務(wù)提供商的商家提出了新要求。根據(jù)12.8.5中的規(guī)定,商家需要維持這些信息,即哪些PCI DSS要求是商家的責(zé)任,以及哪些是服務(wù)提供商的責(zé)任。
當(dāng)更新文檔來遵守這個新規(guī)定時,企業(yè)應(yīng)主要依賴于服務(wù)提供商。畢竟,他們正在為其產(chǎn)品組合中的每個客戶回答相同的問題。很多服務(wù)提供商準(zhǔn)備了詳細(xì)的文檔來概述他們PCI DSS合規(guī)的范圍,以及留在商家手里的責(zé)任。在某些情況下,這些文件是由合格安全性評估機構(gòu)(QSA:Qualified Security Assessors)準(zhǔn)備。企業(yè)可以依靠這些文件并保存它們作為合規(guī)材料的一部分。
滲透測試的嚴(yán)謹(jǐn)性
PCI DSS的11.3要求一貫規(guī)定,企業(yè)在每年以及重大變更后對其環(huán)境執(zhí)行內(nèi)部和外部滲透測試。在其2014年P(guān)CI合規(guī)報告中,Verizon指出滲透測試是其所有客戶合規(guī)率***的控制,只有不到40%的商家滿足滲透測試要求,并適當(dāng)?shù)赜涗浟似淇刂啤?/p>
對此,PCI組織在PCI DSS 3.0中提高了滲透測試要求的嚴(yán)格性。除了要求年度和變更后測試外,該標(biāo)準(zhǔn)現(xiàn)在要求公司自己指明測試的細(xì)節(jié)信息。這些測試必須由合格的獨立測試者執(zhí)行并基于行業(yè)標(biāo)準(zhǔn)做法,測試需要涵蓋整個持卡人數(shù)據(jù)環(huán)境、整合分段控制測試,以及滿足11.3要求內(nèi)包含的其他詳細(xì)規(guī)范。
當(dāng)企業(yè)升級其滲透測試控制時,首先應(yīng)檢查執(zhí)行測試的實體。如果員工在管理該測試,企業(yè)將需要讓審計人員確認(rèn)該員工有資格執(zhí)行測試,并且,該測試人員在組織上獨立于負(fù)責(zé)部署和維護安全控制的人員。該測試者能否滿足11.3中的很多新規(guī)定呢?如果不能,企業(yè)***聘請專業(yè)的滲透測試公司來滿足這一要求。
物理安全更新
PCI DSS 3.0還變更了持卡人數(shù)據(jù)處理位置的物理安全要求。這個新要求9.3提高了圍繞允許現(xiàn)場人員進入敏感區(qū)域的嚴(yán)謹(jǐn)度。企業(yè)現(xiàn)在必須明確對個人的授權(quán)訪問,并且,這種訪問權(quán)限僅為滿足個人的工作職能。此外,企業(yè)必須部署程序以在終止時立即撤銷物理訪問。企業(yè)應(yīng)該審查其在這些區(qū)域的當(dāng)前程序,并采取措施在必要時更新它們。
同時,9.9要求給企業(yè)帶來一個更加困難的物理安全挑戰(zhàn)。這個新規(guī)定涵蓋了銷售點卡交易中使用的支付卡刷卡終端的物理安全性。企業(yè)必須保持這些設(shè)備的完整清單(包括序列號),并定期進行設(shè)備檢查,以確保它們沒有被篡改或者更換。操作終端設(shè)備的人員必須接受培訓(xùn),以減少未經(jīng)授權(quán)篡改的可能性。
具有大量刷卡終端的企業(yè)可能更難以滿足9.9要求,特別是當(dāng)設(shè)備分布廣泛時。企業(yè)應(yīng)該花時間來規(guī)劃目錄、培訓(xùn)和檢查方法,以確保他們在明年能夠符合新標(biāo)準(zhǔn)。
結(jié)論
企業(yè)擔(dān)心遵守PCI DSS 3.0版本所需做的工作太多而無法在2014年年底之前完成,不過,這些企業(yè)可以稍微松一口氣:有些PCI DSS 3.0控制的合規(guī)***期限有所延遲。這些控制包括11.3章節(jié)的更新的滲透測試要求和9.9中終端物理安全要求,它們被認(rèn)為是***做法,而且要到2015年7月1日才變?yōu)閺娭菩浴?/p>
PCI DSS 3.0為企業(yè)帶來了新的合規(guī)責(zé)任,但這些都不是不可克服的。現(xiàn)在花時間進行差距評估將幫助緩解2015年合規(guī)***期限到來時的過渡負(fù)擔(dān)。
