今年四月份支付卡行業安全標準委員會(PCI SSC: Payment Card Industry Security Standards Council)正式發佈PCI數據安全標準(DSS: Payment Card Industry DataSecurity Standard)最新版本v3.2。PCI DSS v3.2版本將替換之前的v3.1版本,此次標準更新依據全球700多家參與機構提交的反饋以及支付受理方式變化引發的數據泄露情況報告等數據做出,旨在應對客戶支付信息面臨的日益增長的安全威脅。完整的PCI DSSv3.2版本以及更新說明可訪問PCI SSC官網查看。
什麼是PCI DSS安全認證?
早期支付卡安全保障主要是由各個支付卡品牌獨立完成的,如VISA的AIS。但隨着卡支付業務的發展,原先支付卡各自爲戰的安全標準不利於信息保密的標準統一。2004年VISA和MasterCard聯合多家機構,成立了支付卡行業數據安全標準委員會PCI SSC,委員會的主旨是鼓勵所有關鍵業內機構採用數據安全標準;培養和管理全球範圍內有資質的授權掃描服務商(ASV:Approved Scanning Vendors);以及邀請機構加入到此標準的維護行列。同時,爲了建立統一的業界標準,最大程度的降低支付卡風險,標準委員會聯合制定了旨在嚴格控制數據存儲以保障支付卡用戶在線交易安全的數據安全標準,即PCI DSS安全認證標準。
PCI DSS內容有什麼?
標準分6大項12小項:
建立並維護安全的網絡
1、安裝於維護防火牆設定以保護持卡人資料。
2、對於系統密碼及其他安全參數,不能使用供應商提供的預設值(默認密碼)。
保護持卡人信息
3、保護存儲的持卡人資料。
4、加密通過開放的公用網絡傳輸的持卡人資料。
維護漏洞管理程序
5、使用並定期更新殺毒軟件或程序。
6、開發並維護安全系統和應用程序。
實施嚴格的存儲控制措施
7、限制爲只有業務需要的人才能存取持卡人資料。
8、爲具有電腦存取權的每個人指定唯一的ID。
9、限制對持卡人資料的實際存儲。
定期監控並測試網絡
10、追蹤並監控對網絡資源及持卡人資料的所有存取。
11、定期測試安全系統和程序。
維護信息安全政策
12、維護滿足所有人員信息安全需求的政策
新版本
有什麼變化?
新版本中關於安全要求內容的主要變更,可以進一步幫助機構確認關鍵數據是否在整個合規年度中安全可控且經過有效的測試,而且可作爲持續安全監控程序的一部分。新版本標準還針對需要對數據進行保護的管理方、服務提供方和持卡人數據環境提出了新安全要求。此外,PCI DSSv3.2版本鼓勵機構進一步關注人員、流程和政策,並將技術作爲重要手段來減少全局中持卡人數據的留存痕跡。
PCI DSS v3.2版本的主要變更包括:
1、延長了由SSL和早期TLS版本遷移至TSL更新版本的期限;
2、擴展了多因素驗證標準8.3版本的使用範圍,包括敦促可以訪問持卡人數據環境的管理員採用多因素認證機制;
3、增加了針對服務提供商和相關機構的額外安全驗證步驟,該步驟融合了之前作爲單獨規範文件存在的《特定機構補充驗證要求Designated Entities Supplemental Validation (簡稱DESV)》。