【标准升级】PCI DSS V3.1将于本月底停用
2016年4月,支付卡行业安全标准委员会(PCI SSC: Payment Card Industry Security Standards Council)正式发布PCI数据安全标准(DSS: Payment Card Industry DataSecurity Standard)最新版本v3.2, PCI DSS v3.1将于2016年10月31日停用,取而代之的即是PCI DSS v3.2版本,此次标准更新依据全球700多家参与机构提交的反馈以及支付受理方式变化引发的数据泄露情况报告等数据做出,旨在应对客户支付信息面临的日益增长的安全威胁。完整的PCI DSS v3.2版本以及更新说明可访问PCI SSC官网www.pcisecuritystandards.org/document_library查看。
新版本有哪些变化
新版本中关于安全要求内容的主要变更,可以进一步帮助机构确认关键数据是否在整个合规年度中安全可控且经过有效的测试,而且可作为持续安全监控程序的一部分。新版本标准还针对需要对数据进行保护的管理方、服务提供方和持卡人数据环境提出了新安全要求。此外,PCI DSS v3.2版本鼓励机构进一步关注人员、流程和政策,并将技术作为重要手段来减少全局中持卡人数据的留存痕迹。
PCI DSS v3.2版本的主要变更:
1、延长了由SSL和早期TLS版本迁移至TSL更新版本的期限;
2、扩展了多因素验证标准8.3版本的使用范围,包括敦促可以访问持卡人数据环境的管理员采用多因素认证机制;
3、增加了针对服务提供商和相关机构的额外安全验证步骤,该步骤融合了之前作为单独规范文件存在的《特定机构补充验证要求Designated Entities Supplemental Validation (简称DESV)》。