其支付卡处理系统尚未升级以满足需求PCI DSS 3.0企业现在没有多少时间了。虽然新版本的标准于2014年1月1日生效,商家可以选择在2014年遵守旧版本的合规性,但该选项将在2015年失败,所有商家必须证明它PCI DSS 3.0合规性。你的企业准备好处理了吗?
让我们来看看这篇文章。PCI 3.0三个主要变化和让您的企业满足合规要求的步骤。
管理服务提供商
由于PCI DSS这是合同义务,而不是法律。该标准不直接适用于未进入信用卡商户协议的实体。然而,大多数企业依靠外部服务来处理部分信用卡操作。PCI DSS它也扩展到这些实体,考虑到它们作为服务提供商,并要求商家与任何代表其存储、处理或传输信用卡信息的服务提供商签订书面协议。这些书面协议必须要求服务提供商遵守PCI DSS的规定。
服务提供商的概念可以追溯到PCI DSS最早版本,商家总是被要求保持服务提供商名单,与这些提供商签订书面协议,并继续监控这些提供商的合规性。PCI DSS 3.0对涉及服务提供商的商家提出了新的要求。12.8.5商家需要维护哪些信息?PCI DSS要求是商家的责任,服务提供商的责任是什么。
企业在更新文遵守新规定时,企业应主要依靠服务提供商。毕竟,他们正在为他们的产品组合中的每个客户回答同样的问题。许多服务提供商准备了详细的文档来概述它们PCI DSS合规范围和留在企业手中的责任。在某些情况下,这些文件由合格的安全评估机构提供(QSA:Qualified Security Assessors)准备。企业可以依靠这些文件并将其作为合规材料保存。
渗透试验的严谨性
PCI DSS的11.3要求一贯规定,企业在每年和重大变化后对其环境进行内外渗透试验。2014年PCI在合规报告中,Verizon指出渗透测试是指所有客户的合规率***只有不到40%的企业满足渗透测试要求,并适当记录其控制。
对此,PCI组织在PCI DSS 3.0它提高了渗透性测试要求的严格性。除了年度和变更后的测试外,该标准还要求公司指出测试的细节。这些测试必须由合格的独立测试人员进行,并根据行业标准进行。测试需要涵盖整个持卡人数据环境,集成分段控制测试,并满足要求11.3要求包含其他详细规范。
当企业升级其渗透性测试控制时,应首先检查测试实体。如果员工正在管理测试,企业将要求审计人员确认员工有资格进行测试,测试人员独立于负责组织部署和维护安全控制的人员。测试人员能满意吗?11.3许多新规定呢?如果没有,企业***聘请专业的渗透测试公司来满足这一要求。
物理安全更新
PCI DSS 3.0还改变了持卡人数据处理位置的物理安全要求。这一新要求9.3提高了允许现场人员进入敏感区域的严谨性。企业现在必须明确个人授权访问,这种访问权限只是为了满足个人的工作职能。此外,企业必须部署程序,以便在终止时立即取消物理访问。企业应审查这些地区的当前程序,并在必要时采取措施更新。
同时,9.9要求给企业带来更困难的物理安全挑战。新规定涵盖了销售点卡交易中使用的支付卡刷卡终端的物理安全。企业必须保持这些设备的完整清单(包括序列号),并定期检查,以确保它们不被篡改或更换。操作终端设备的人员必须接受培训,以减少未经授权篡改的可能性。
拥有大量信用卡终端的企业可能更难满足需求9.9要求,特别是当设备分布广泛时。企业应花时间规划目录、培训和检查方法,以确保明年符合新标准。
结论
企业担心遵守PCI DSS 3.0版本需要做太多的工作,不能在2014年底前完成,但这些公司可以松一口气:有些PCI DSS 3.0控制的合规***延迟期限。这些控制包括11.3更新章节的渗透试验要求和9.9被认为是中终端物理安全要求***实践,直到2015年7月1日才成为强制性。
PCI DSS 3.0它给企业带来了新的合规责任,但这些都不是不可克服的。现在花时间评估差距将有助于缓解2015年的合规***期限到来时的过渡负担。