压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　2014年是信用卡數據泄露年，新型POS機惡意軟件的猖獗攻擊導致Target、HomeDepot等全球上千家零售企業遭受POS惡意軟件攻擊，信用卡數據泄露規模的世界紀錄也不斷被刷新。與此同時，不少安全專家曾指出，支付卡行業安全規范PCI DSS在降低攻擊損害上起到了關鍵作用。而在HomeDepot的案例中，數據泄露事故的一個重要原因就是HomeDepot沒能嚴格遵守PCI標準進行安全審計和漏洞掃描。

　　在零售業和支付行業亡羊補牢，重新審視和構建安全管理體系、策略的同時，新版支付卡行業安全規范PCI DSS3.0標準成為指導零售業重建信息安全護城河、確立新的安全最佳實踐的重要基石。

　　經過2014年的試行后，2015年PCI DSS3.0將強制執行，對于廣大商業企業和發卡銀行來說，剩下的合規時間窗口即將關閉，必須盡快了解PCI DSS3.0的新內容和新規范。

　　以下我們向大家介紹PCI 3.0中的三個主要變化以及合規所需采取的步驟，由TechTarget編譯如下（大家也可以到PCI DSS安全標準委員會官網了解更多內容）：

　　服務提供商管理

　　由于PCI DSS是合同義務，而不是法律，該標準并不直接適用于那些沒有進入信用卡商戶協議的實體。然而，大多數企業依賴于外部服務來處理器部分信用卡操作。因此，PCI DSS也擴展到了這些實體，考慮他們作為服務提供商，并要求商家與代表他們存儲、處理或傳輸信用卡信息的任何服務提供商簽訂書面協議。這些書面協議必須要求服務提供商遵守PCI DSS的規定。

　　服務提供商的概念可以追溯到PCI DSS的最早版本，并且，商家總是被要求保持服務提供商名單，與這些提供商簽訂書面協議，以及持續監控這些提供商的合規狀況。PCI DSS 3.0為涉及服務提供商的商家提出了新要求。根據12.8.5中的規定，商家需要維持這些信息，即哪些PCI DSS要求是商家的責任，以及哪些是服務提供商的責任。

　　當更新文檔來遵守這個新規定時，企業應主要依賴于服務提供商。畢竟，他們正在為其產品組合中的每個客戶回答相同的問題。很多服務提供商準備了詳細的文檔來概述他們PCI DSS合規的范圍，以及留在商家手里的責任。在某些情況下，這些文件是由合格安全性評估機構(QSA：Qualified Security AsseSSOrs)準備。企業可以依靠這些文件并保存它們作為合規材料的一部分。

　　滲透測試的嚴謹性

　　PCI DSS的11.3要求一貫規定，企業在每年以及重大變更后對其環境執行內部和外部滲透測試。在其2014年PCI合規報告中，Verizon指出滲透測試是其所有客戶合規率最低的控制，只有不到40%的商家滿足滲透測試要求，并適當地記錄了其控制。

　　對此，PCI組織在PCI DSS 3.0中提高了滲透測試要求的嚴格性。除了要求年度和變更后測試外，該標準現在要求公司自己指明測試的細節信息。這些測試必須由合格的獨立測試者執行并基于行業標準做法，測試需要涵蓋整個持卡人數據環境、整合分段控制測試，以及滿足11.3要求內包含的其他詳細規范。

　　當企業升級其滲透測試控制時，首先應檢查執行測試的實體。如果員工在管理該測試，企業將需要讓審計人員確認該員工有資格執行測試，并且，該測試人員在組織上獨立于負責部署和維護安全控制的人員。該測試者能否滿足11.3中的很多新規定呢？如果不能，企業最好聘請專業的滲透測試公司來滿足這一要求。

　　物理安全更新

　　PCI DSS 3.0還變更了持卡人數據處理位置的物理安全要求。這個新要求9.3提高了圍繞允許現場人員進入敏感區域的嚴謹度。企業現在必須明確對個人的授權訪問，并且，這種訪問權限僅為滿足個人的工作職能。此外，企業必須部署程序以在終止時立即撤銷物理訪問。企業應該審查其在這些區域的當前程序，并采取措施在必要時更新它們。

　　同時，9.9要求給企業帶來一個更加困難的物理安全挑戰。這個新規定涵蓋了銷售點卡交易中使用的支付卡刷卡終端的物理安全性。企業必須保持這些設備的完整清單（包括序列號），并定期進行設備檢查，以確保它們沒有被篡改或者更換。操作終端設備的人員必須接受培訓，以減少未經授權篡改的可能性。

　　具有大量刷卡終端的企業可能更難以滿足9.9要求，特別是當設備分布廣泛時。企業應該花時間來規劃目錄、培訓和檢查方法，以確保他們在明年能夠符合新標準。

　　結論

　　企業擔心遵守PCI DSS 3.0版本所需做的工作太多而無法在2014年年底之前完成，不過，這些企業可以稍微松一口氣：有些PCI DSS 3.0控制的合規最后期限有所延遲。這些控制包括11.3章節的更新的滲透測試要求和9.9中終端物理安全要求，它們被認為是最佳做法，而且要到2015年7月1日才變為強制性。

　　PCI DSS 3.0為企業帶來了新的合規責任，但這些都不是不可克服的?，F在花時間進行差距評估將幫助緩解2015年合規最后期限到來時的過渡負擔。