第三个方面：供应商关系

12.8.5和12.9要求现在要求明确由各个服务提供商和实体管理的PCI DSS的信息。例如，如果企业使用托管数据中心供应商，该数据中心的物理访问限制可能由该供应商管理，而对这些位置访问权的管理方面可能是由客户企业管理。在这种情况下，PCI DSS 3.0要求商家明确同意并以书面形式确认这种与供应商或服务供应商的职责分配。

这种要求意味着，现在商家不仅需要维护供应商清单（这是3.0之前的要求），以及当其服务与其CDE交互时追踪其合规状态（也是3.0之前的要求），而且要明确对于PCI DSS要求，每个适用的供应商的相应的责任分配，还必须与供应商签署书面协议。

维持和管理这些不同的要求在实践中可能具有挑战性。为什么呢？主要有两个原因：首先，它涉及检查所有CDE相关的供应商（理想情况下，商家有这个清单，因为他们应该在追踪供应商的PCI合规状态）；第二，它涉及准确分析每个特定供应商的使用情况。在实践中，商家必须明确知道供应商或服务供应商在做什么（以确定其范围），控制职责应该如何划分，以及如何创建文档来描述这些事情。接下来是有趣的部分：让相关的服务供应商（注意，他们看待问题的方式可能与你不同）同意并签署书面协议。曾经参与过供应商协商的人会告诉你，协商这些问题（特别是在已经与服务供应商签署合同后）将是耗时的工作，而且可能会出现争议（这取决于供应商）。

第四个方面：反恶意软件

要求5.1.2现在要求商家：“对于通常不受恶意软件影响的系统，需要执行定期评估以确定并评估不断进化的恶意软件威胁”。这意味着，如果你使用的系统通常不会受到恶意软件感染（例如大型机或Unix服务器），你需要部署一个程序确保保持这种状态，如果这些平台出现一些恶意软件，你需要知道这个情况。要求5.3现在要求必须从管理层获得明确授权，才能禁用或更改杀毒机制的运作，并且，这种授权是有时间限制的。

对于不同的企业，这些要求可能会有一定的影响，特别是第二个要求。在PCI DSS 2.0中，该标准仅要求部署防病毒软件，并且它是运行的，还有更新或最新版本，且必须具有生成日志的能力。这些要求是可以满足的，无论谁安装这个工具，它是如何被安装（在合理范围内，只要它不影响上述要求）或如何被配置。但现在事情不是这样了。现在，商家必须防止用户禁用或更改杀毒机制（这可能需要特定的配置），并需将杀毒系统配置为利用这种能力。这可能同时需要更高水平的技术规划（因为这可能会影响防病毒工具和OS配置）以及部署策略来在整个CDE验证这种能力。毫无疑问，大多数商家将会通过更多文书工作来满足这一要求，但这种变化并不会像上述要求那么难以应对。

第五个方面：物理访问和PoS机

9.3要求现在要求商家控制现场人员对敏感区域的物理访问，这种访问必须获得授权，且根据个人的工作职能，同时，当访问终止时，访问权应随即被撤销。9.9要求现在要求商家“保护通过直接接触卡本身便可捕获支付卡数据的设备，以避免设备被篡改和替换”。大多数商家可能已经在试图满足9.9要求，但如果有商家仍然在零售点使用服务器机柜来存放纸巾，现在可能是时候停止这种行为了。

不过，满足9.9要求可能有点麻烦。为什么呢？试想一下，从商家的角度来看，哪里最有可能适用：零售点、餐馆、医生办公室、食品车、出租车和其他独特的零售环节。这些零售商习惯于“定期检查”销售点终端设备（PoS）吗？例如检查序列号以确保设备没有被更换。不太可能。想象一下，对跨多个地理位置分散的零售点进行这种检查需要付出多少努力。同样地，用于该要求的测试程序特别明确验证政策/程序包含“保存一份设备列表”。有多少商家现在有自己的PoS设备列表？虽然这肯定是一个很好的做法，但现实是，很少有商家这样做。对于站点管理员或零售场所管理者，这一切很可能是全新的概念，可能需要相当多的社会化、准备和人员培训来全面展开。

总结

正如你所知道的，对于这些新的和更新的要求，有些商家需要做很多工作。请注意，上述这些并不是唯一的变化，当然，具体使用环境和企业文化将会影响企业对这些要求的满足。然而，这些是对商家影响最大的PCI DSS 3.0变化，至少在过渡期内是这样。在某些情况下，这些影响是很明显的（例如穿透测试），可能对于有些人来说，只有在着手执行这些要求（例如盘点系统组件）时，才会意识到这些影响。无论如何，商家必须现在开始规划以确保他们已经准备好应对这些变化。否则，在2014年或2015年的第一次PCI DSS 3.0评估可能不会是一次愉快的经历。

请阅读PCI DSS 3.0对于商家最重要的五方面影响（一）