今年四月份支付卡行业安全标准委员会(PCI SSC: Payment Card Industry Security Standards Council)正式发布PCI数据安全标准(DSS: Payment Card Industry DataSecurity Standard)最新版本v3.2。PCI DSS v3.2版本将替换之前的v3.1版本,此次标准更新依据全球700多家参与机构提交的反馈以及支付受理方式变化引发的数据泄露情况报告等数据做出,旨在应对客户支付信息面临的日益增长的安全威胁。完整的PCI DSSv3.2版本以及更新说明可访问PCI SSC官网查看。
什么是PCI DSS安全认证?
早期支付卡安全保障主要是由各个支付卡品牌独立完成的,如VISA的AIS。但随着卡支付业务的发展,原先支付卡各自为战的安全标准不利于信息保密的标准统一。2004年VISA和MasterCard联合多家机构,成立了支付卡行业数据安全标准委员会PCI SSC,委员会的主旨是鼓励所有关键业内机构采用数据安全标准;培养和管理全球范围内有资质的授权扫描服务商(ASV:Approved Scanning Vendors);以及邀请机构加入到此标准的维护行列。同时,为了建立统一的业界标准,最大程度的降低支付卡风险,标准委员会联合制定了旨在严格控制数据存储以保障支付卡用户在线交易安全的数据安全标准,即PCI DSS安全认证标准。
PCI DSS内容有什么?
标准分6大项12小项:
建立并维护安全的网络
1、安装于维护防火墙设定以保护持卡人资料。
2、对于系统密码及其他安全参数,不能使用供应商提供的预设值(默认密码)。
保护持卡人信息
3、保护存储的持卡人资料。
4、加密通过开放的公用网络传输的持卡人资料。
维护漏洞管理程序
5、使用并定期更新杀毒软件或程序。
6、开发并维护安全系统和应用程序。
实施严格的存储控制措施
7、限制为只有业务需要的人才能存取持卡人资料。
8、为具有电脑存取权的每个人指定唯一的ID。
9、限制对持卡人资料的实际存储。
定期监控并测试网络
10、追踪并监控对网络资源及持卡人资料的所有存取。
11、定期测试安全系统和程序。
维护信息安全政策
12、维护满足所有人员信息安全需求的政策
新版本
有什么变化?
新版本中关于安全要求内容的主要变更,可以进一步帮助机构确认关键数据是否在整个合规年度中安全可控且经过有效的测试,而且可作为持续安全监控程序的一部分。新版本标准还针对需要对数据进行保护的管理方、服务提供方和持卡人数据环境提出了新安全要求。此外,v3.2版本鼓励机构进一步关注人员、流程和政策,并将技术作为重要手段来减少全局中持卡人数据的留存痕迹。
PCI DSS v3.2版本的主要变更包括:
1、延长了由SSL和早期TLS版本迁移至TSL更新版本的期限;
2、扩展了多因素验证标准8.3版本的使用范围,包括敦促可以访问持卡人数据环境的管理员采用多因素认证机制;
3、增加了针对服务提供商和相关机构的额外安全验证步骤,该步骤融合了之前作为单独规范文件存在的《特定机构补充验证要求Designated Entities Supplemental Validation (简称DESV)》。