对于还没有升级其支付卡处理系统来满足PCI DSS 3.0要求的企业,现在所剩时间已经不多了。虽然新版本的标准于2014年1月1日生效,并且,商家可以选择在整个2014年按照旧版本遵守合规性,但在2015年这个选项将会失效,所有商家必须证明其PCI DSS 3.0合规性。你的企业已经准备好应对了吗?
在这篇文章中,我们来看看PCI 3.0中的三个主要变化以及让你的企业满足合规所需采取的步骤。
服务提供商管理
由于PCI DSS是合同义务,而不是法律,该标准并不直接适用于那些没有进入信用卡商户协议的实体。然而,大多数企业依赖于外部服务来处理器部分信用卡操作。因此,PCI DSS也扩展到了这些实体,考虑他们作为服务提供商,并要求商家与代表他们存储、处理或传输信用卡信息的任何服务提供商签订书面协议。这些书面协议必须要求服务提供商遵守PCI DSS的规定。
服务提供商的概念可以追溯到PCI DSS的最早版本,并且,商家总是被要求保持服务提供商名单,与这些提供商签订书面协议,以及持续监控这些提供商的合规状况。PCI DSS 3.0为涉及服务提供商的商家提出了新要求。根据12.8.5中的规定,商家需要维持这些信息,即哪些PCI DSS要求是商家的责任,以及哪些是服务提供商的责任。
当更新文档来遵守这个新规定时,企业应主要依赖于服务提供商。毕竟,他们正在为其产品组合中的每个客户回答相同的问题。很多服务提供商准备了详细的文档来概述他们PCI DSS合规的范围,以及留在商家手里的责任。在某些情况下,这些文件是由合格安全性评估机构(QSA:Qualified Security Assessors)准备。企业可以依靠这些文件并保存它们作为合规材料的一部分。
渗透测试的严谨性
PCI DSS的11.3要求一贯规定,企业在每年以及重大变更后对其环境执行内部和外部渗透测试。在其2014年PCI合规报告中,Verizon指出渗透测试是其所有客户合规率最低的控制,只有不到40%的商家满足渗透测试要求,并适当地记录了其控制。
对此,PCI组织在PCI DSS 3.0中提高了渗透测试要求的严格性。除了要求年度和变更后测试外,该标准现在要求公司自己指明测试的细节信息。这些测试必须由合格的独立测试者执行并基于行业标准做法,测试需要涵盖整个持卡人数据环境、整合分段控制测试,以及满足11.3要求内包含的其他详细规范。
当企业升级其渗透测试控制时,首先应检查执行测试的实体。如果员工在管理该测试,企业将需要让审计人员确认该员工有资格执行测试,并且,该测试人员在组织上独立于负责部署和维护安全控制的人员。该测试者能否满足11.3中的很多新规定呢?如果不能,企业最好聘请专业的渗透测试公司来满足这一要求。
物理安全更新
PCI DSS 3.0还变更了持卡人数据处理位置的物理安全要求。这个新要求9.3提高了围绕允许现场人员进入敏感区域的严谨度。企业现在必须明确对个人的授权访问,并且,这种访问权限仅为满足个人的工作职能。此外,企业必须部署程序以在终止时立即撤销物理访问。企业应该审查其在这些区域的当前程序,并采取措施在必要时更新它们。
同时,9.9要求给企业带来一个更加困难的物理安全挑战。这个新规定涵盖了销售点卡交易中使用的支付卡刷卡终端的物理安全性。企业必须保持这些设备的完整清单(包括序列号),并定期进行设备检查,以确保它们没有被篡改或者更换。操作终端设备的人员必须接受培训,以减少未经授权篡改的可能性。
具有大量刷卡终端的企业可能更难以满足9.9要求,特别是当设备分布广泛时。企业应该花时间来规划目录、培训和检查方法,以确保他们在明年能够符合新标准。
结论
企业担心遵守PCI DSS 3.0版本所需做的工作太多而无法在2014年年底之前完成,不过,这些企业可以稍微松一口气:有些PCI DSS 3.0控制的合规最后期限有所延迟。这些控制包括11.3章节的更新的渗透测试要求和9.9中终端物理安全要求,它们被认为是最佳做法,而且要到2015年7月1日才变为强制性。
PCI DSS 3.0为企业带来了新的合规责任,但这些都不是不可克服的。现在花时间进行差距评估将帮助缓解2015年合规最后期限到来时的过渡负担。