8月12日,PCI安全标准委员会发布了 “变更概要”文档,该文档针对即将发布的“支付卡行业数据安全标准”(PCI DSS)2.0版本和“支付卡应用数据安全标准”(PA DSS)涵盖了建议的变更。 最终的2.0版本于2010年10月28日发布。在本文中我们将回顾PCI DSS 2.0版本的关键变化,做出这些变化的原因以及对企业的意义。 PCI 2.0:好消息 对于积极地致力于PCI DSS和PA DSS合规的公司来说,最大的问题是:“这些改变会对当前的评估环节有何影响?”,以及“公司是否需要考虑这些重大变更并进行规划呢?”。
第一个问题的答案是虽然2.0版本的标准现在可用于评审,但是直……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
8月12日,PCI安全标准委员会发布了 “变更概要”文档,该文档针对即将发布的“支付卡行业数据安全标准”(PCI DSS)2.0版本和“支付卡应用数据安全标准”(PA DSS)涵盖了建议的变更。
最终的2.0版本于2010年10月28日发布。在本文中我们将回顾PCI DSS 2.0版本的关键变化,做出这些变化的原因以及对企业的意义。
PCI 2.0:好消息
对于积极地致力于PCI DSS和PA DSS合规的公司来说,最大的问题是:“这些改变会对当前的评估环节有何影响?”,以及“公司是否需要考虑这些重大变更并进行规划呢?”。第一个问题的答案是虽然2.0版本的标准现在可用于评审,但是直到2011年1月11日它才会生效。从该标准生效算起,正处于开发合规报告(RoC)中的组织有整整一年来遵从新的标准。也就是说还有很多时间来评审合规并为其进行规划。
然而,有理由相信变化的深度将使规划这一年花费上有很大的改变。如果变化是大范围的并且对当前系统升级需要昂贵的费用,那么一年就不是很长了。如果只是微小调整,对当前的支付卡系统变化很少或没有变化,那么在12个月内实施并完成应该是很容易的。这给我们带来了第二个问题:变化有哪些和为准备PCI DSS 2.0和PA DSS的面世,公司现在应该考虑什么?
同样还有一些特别棒的消息:对于大多数公司目前的持卡人数据环境(CDE)来说变化不大,并且应该不需要变化。因为大多数的变化,如其阐述的,只是为了扩展选项而不是要求变化或是限制选项。例如,虚拟化现在被关注和定义,但是虚拟化的使用仍是可选的。这个同样适用于要求6.2和要求12.3.10的变化,两者都为公司提供了一个可选项,因为许多公司要求能够使用虚拟化技术,但是不会否定或者妨碍来自1.2版本中相关选项的使用。
作者
相关推荐
-
关于POS终端安全 PCI做了哪些要求?
PCI DSS包括对POS终端安全的要求。在本文中,专家Mike Chapple将解释如何理解PCI对于POS终端的要求,并就此的最佳安全实践给出建议。
-
PCI DSS 3.1发布:商家需提供详尽的新SSL安全管理计划
新版本的支付卡行业数据安全标准(PCI DSS)已经发布,其中不仅要求商家做好准备摆脱有问题的数据加密协议,还要求提供有关他们打算如何实现这种转变的详细计划。
-
如何采取衡量的方法来进行自动化渗透测试?
快要被渗透测试压垮?很多人都是这样。面对PCI DSS、业务合作伙伴和客户需求或者类似责任,对渗透测试的需求的浪潮永无止境……
-
PCI DSS:为什么漏洞评估和渗透测试那么难?
2014年Verizon PCI合规报告对世界各地的PCI DSS合规状态进行了评估。令人惊讶的是,该报告发现“要求11”的合规率最低,尽管很多安全专业人士认为这是该报告中最直接的规定之一,该要求规定企业应对安全系统和流程定期进行测试。