对于尚未升级其支付卡处理系统以满足PCIDSS3.0要求的企业来说,时间不多了。虽然新版标准于2014年1月1日生效,商家可以选择在2014年全年遵守旧版本,但该选项将于2015年到期,所有商家必须证明符合PCIDSS3.0。规律性。您的企业准备好应对了吗?在本文中,我们将了解PCI3.0的三个主要变化,以及您的企业需要采取哪些步骤才能使其合规。服务提供商治理由于PCIDSS是合同义务而非法律,因此该标准并不直接适用于无法访问信用卡商户协议的实体。然而,大多数企业依赖外部服务来处理一些信用卡业务。因此,PCIDSS也扩展到这些实体,将它们视为服务提供商,并要求商户与任何代表他们存储、处理或传输信用卡信息的服务提供商签订书面协议。这些书面协议必须要求服务提供商遵守PCIDSS的规定。服务提供商的概念可以追溯到最早版本的PCIDSS,商家一直被要求维护一份服务提供商名单,与这些提供商签订书面协议,并持续监控这些提供商的合规状态。PCIDSS3.0对涉及服务提供商的商家提出了新要求。如12.8.5中所述,商户需要维护信息,说明哪些PCIDSS要求是商户的责任,哪些是服务提供商的责任。企业在更新文件以符合这一新规定时应主要依靠服务提供商。毕竟,他们正在为其投资组合中的每个客户回答相同的问题。许多服务提供商已经准备了详细的文件,概述了他们的PCIDSS合规范围以及商家的责任。在某些情况下,这些文件是由合格的安全评估员(QSA:合格的安全评估员)准备的。企业可以依赖这些文件并将其作为合规材料的一部分。严格的渗透测试PCIDSS要求11.3始终指出,组织应每年对其环境进行内部和外部渗透测试,并在发生重大变化后进行测试。Verizon在其2014年PCI合规报告中表示,渗透测试是其所有客户中合规率最高的控制,只有不到40%的商户满足渗透测试要求并适当记录其控制。作为回应,PCI组织在PCIDSS3.0中提高了渗透测试要求的严格性。除了要求年度和变更后测试外,该标准现在还要求公司自己指定测试的细节。这些测试必须由合格的独立测试人员根据行业标准实践进行,测试需要覆盖整个持卡人数据环境,集成分段控制测试,并满足11.3要求中包含的其他详细规范。当一个组织升级其渗透测试控制时,它应该首先检查执行测试的实体。如果员工正在管理测试,组织将需要让审计人员确认该员工有资格执行测试,并且测试人员在组织上独立于负责部署和维护安全控制的人员。测试人员能否满足11.3中的许多新规定?如果没有,企业必须聘请专业的渗透测试公司来满足这一要求。物理安全更新PCIDSS3.0还更改了处理持卡人数据的位置的物理安全要求。新要求9.3提高了允许现场人员进入敏感区域的严格性。组织现在必须指定对个人的授权访问,并且该访问仅限于个人的工作职能。此外,企业必须制定程序以在终止时立即撤销物理访问。企业应审查其在这些领域的当前程序,并在必要时采取措施对其进行更新。同时,9.9要求对企业提出了更加艰巨的物理安全挑战。这项新规定涵盖了销售点卡交易中使用的支付卡刷卡终端的物理安全。企业必须保留这些设备的完整清单(包括序列号)并定期进行设备检查以确保它们没有被篡改或更换。必须对操作终端设备的人员进行培训,以减少未经授权篡改的可能性。拥有大量刷卡终端的企业可能会发现更难满足9.9的要求,尤其是在设备分布广泛的情况下。企业应花时间规划目录、培训和检查方法,以确保明年能够满足新标准。结论担心PCIDSS3.0版合规工作量太大而无法在2014年底前完成的组织可以松一口气:一些PCIDSS3.0控件的合规截止日期已被推迟。这些控制措施包括第11.3节中更新的渗透测试要求和9.9中的端点物理安全要求,它们被认为是最佳实践,并且在2015年7月1日之前不会成为强制性要求。PCIDSS3.0为企业引入了新的合规责任,但这些都不是不可逾越。现在花时间进行差距评估将有助于在2015年合规***截止日期到来时减轻过渡负担。
