PCI DSS v3.2正式发布

2016-04-28

2016年4月28日,支付卡产业数据安全标准(PCI DSS: Payment Card Industry Data Security Standard)最新版本的标准v3.2正式由PCI安全标准委员会(SSC: Security Standards Council)发布。

PCI DSS v3.2版本将替换之前的v3.1版本,应对最新的客户支付信息面临的威胁。旧版本标准PCI DSS v3.1将于2016年10月31日正式过期。

全球支付产业认可PCI DSS作为保护支付数据安全最为权威且成熟的标准,3.2版本的主要变化是针对标准的澄清,进一步帮助机构确认重要数据安全控制在整个合规年度中保持到位的状态,且作为持续安全监控流程的一部分得到有效的测试。新版本标准融入了针对管理员、服务提供商,及其负责保护的持卡人数据环境的新要求。PCI DSS v3.2鼓励机构进一步关注人员、流程和策略,且更加重视技术的实施。

PCI DSS的主要变更包括:

  • 修订SSL和早版本TLS使用的过期日期
  • 扩展要求8.3,包括针对访问持卡人数据环境的管理员多因素认证的采用
  • 针对服务提供商和相关机构额外安全验证步骤,融合了特定机构补充验证要求DESV(Designated Entities Supplemental Validation)规范(之前作为单独的规范文件存在)
  • 标准的更新来自于全球范围产业参与机构的共同反馈,数据泄露报告的发现和支付方式接受的更新。atsec长期以来持续关注并积极参与标准和相关支持指导的反馈和更新编写。

    atsec建议各处理或受理支付的机构尽早参考最新的安全标准,以预防、发现和响应可能导致数据泄露的最新攻击威胁。atsec持续跟进和积累最新的方法论,协助机构进行新版本标准的平缓过渡和采用。此外atsec将在最近一期PCI SE培训中针对标准变更和影响分析进行讲解,参见:http://www.atsec.cn/news/controller/News/action/detail/article/384/index.html