新年伊始，萬象更新，伴隨著美酒佳肴，支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)也迎來了新的要求。

　　支付卡行業(yè)數(shù)據(jù)安全標準3.0現(xiàn)在已經(jīng)可以應(yīng)用于各行各業(yè)，盡管其中的一些要求在七月一日前并不要求強制執(zhí)行，畢竟企業(yè)需要一定的時間對標準進行調(diào)整。那么今天我們就總結(jié)一下，新標準帶來了哪些變化。

　　一、將支付重定向到第三方的在線零售商納入合規(guī)審計范圍

　　新標準引入了許多需要企業(yè)予以關(guān)注的重要新規(guī)定。比如，許多將支付重定向到第三方的在線零售商也將納入合規(guī)審計的范圍，即使他們并不接觸持卡人數(shù)據(jù)。

　　從技術(shù)上講，雖然這些零售商對持卡人數(shù)據(jù)并不實際進行傳輸、存儲和處理，但他們也會對支付卡的數(shù)據(jù)流產(chǎn)生影響，所以也將納入合規(guī)審計。支付卡行業(yè)數(shù)據(jù)安全標準3.0為在線零售商規(guī)定了更高的透明度要求和持卡人數(shù)據(jù)安全培訓(xùn)要求，以及完全滿足這些新要求所必需的條件。

　　二、更嚴格的滲透測試要求

　　到七月一日，對于更嚴格的滲透測試方面的要求也將生效。

　　標準規(guī)定，在進行滲透測試時，執(zhí)行測試的商戶或任何其他人，都必須遵循行業(yè)標準框架。商戶必須確保他們用于對網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)庫以及POS系統(tǒng)進行滲透測試的服務(wù)符合新的要求。標準還要求測試人獨立，這就意味著系統(tǒng)測試員與系統(tǒng)管理員不能是同一人。還有，如果商戶通過架設(shè)防火墻對處理卡數(shù)據(jù)的網(wǎng)絡(luò)區(qū)域進行分割以縮小支付卡行業(yè)標準遵從范圍的話，根據(jù)現(xiàn)在的規(guī)定，就必須在滲透測試報告中提供該區(qū)域的隔離證明，以保證通過合格安全性評估機構(gòu)(QSA)對遵從范圍縮小的驗證。

　　三、更嚴格的網(wǎng)絡(luò)映射要求

　　與此相關(guān)的，在新標準的第一節(jié)還包含了更嚴格的網(wǎng)絡(luò)映射要求。

　　一月一日起，對網(wǎng)絡(luò)映射的要求已經(jīng)更加嚴格。現(xiàn)在不能只畫一張路由線路圖就完事，還需要列出數(shù)據(jù)流通過網(wǎng)絡(luò)時的端到端訪問權(quán)限。也就是說，只列出有多少臺路由器是不行的，還必須展示出支持業(yè)務(wù)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施在處理支付卡交易時是如何工作的。

　　四、增加支付卡讀卡器物理安全要求

　　新的3.0標準還針對支付卡讀卡器的物理安全增加了一系列的新要求。

　　根據(jù)這些新要求，接受驗證的組織必須通過維護庫存清單、定期設(shè)備檢查、以及進行專門的讀卡器安全培訓(xùn)等措施，“保護通過卡片直接物理交互捕獲支付卡數(shù)據(jù)的設(shè)備免遭篡改或替換”。這項需求對于地理分散經(jīng)營模式的大型商戶具有特別大的挑戰(zhàn)性。

　　最新的支付卡行業(yè)數(shù)據(jù)安全標準對于支付卡被盜問題雖然未能提出殺手锏式的解決方案，但也突出了一些最容易被網(wǎng)絡(luò)罪犯所利用問題。商戶朋友們應(yīng)該以新標準為基礎(chǔ)，構(gòu)建一套健壯、多層的包括確定價值數(shù)據(jù)生存位置風(fēng)險評估以及諸如漏洞掃描和滲透測試之類的保護數(shù)據(jù)和服務(wù)技術(shù)在內(nèi)的安全策略，不斷識別和糾正安全薄弱點，并且還要有足夠的人力資源和技能確保其安全控件的安裝、更新和正常工作。

　　通過采用這種安全第一的策略，企業(yè)將會對其必須面對的風(fēng)險水平進行全面的了解，并能夠在全面遵循支付卡行業(yè)數(shù)據(jù)安全標準3.0的框架下實現(xiàn)這一通用商業(yè)手段。