简介本文档为到的变更汇总表 1 是对中所包含变更的概要表 2 是对中重大变更的汇总表 1: 变更变更其他指南定义说明要求的目的确保该标准中简洁的措辞传达出要求的预期目的解释定义和 / 或说明, 用以加深理解, 或就某一特定主题提供更多信息或指南相关变更用以确保该标准

Size: px

Start display at page:

Download "简介本文档为到的变更汇总表 1 是对中所包含变更的概要表 2 是对中重大变更的汇总表 1: 变更变更其他指南定义说明要求的目的确保该标准中简洁的措辞传达出要求的预期目的解释定义和 / 或说明, 用以加深理解, 或就某一特定主题提供更多信息或指南相关变更用以确保该标准"

威秦
5 years ago
Views:

1 支付卡行业 (PCI) 数据安全标准到 3.0 的变更汇总 2013 年 11 月

3 表 2: 变更汇总章节 PCI DSS 适用性信息 PCI DSS 适用性信息说明即使在环境中没有 PAN 的情况下, 授权后也决不能存储 SAD PCI DSS 与 PA- DSS 的关系 PCI DSS 与 PA- DSS 的关系说明即便 PA-DSS 已验证, 所有存储处理或传输持卡人数据的应用程序均属于实体的 PCI DSS 评估范围说明 PCI DSS 对支付应用程序供应商的适用性增加了系统组件的示例, 同时增加了关于如何准确地确定评估范围的指南 PCI DSS 要求的遵从性评估范围 PCI DSS 要求的范围说明网络分段的目的说明第三方及其客户界定并涵盖 PCI DSS 要求的相关责任, 明确提出第三方需要向其客户提供能够用于验证该第三方 PCI DSS 评估范围的证据其他指南在常规业务流程中实施 PCI DSS 新章节中提供常规业务相关指南, 用于指导在常规业务 (BAU) 活动中实施安全标准, 以保持持续的 PCI DSS 遵从性请注意, 该章节中仅包含建议和指南, 而非全新的 PCI DSS 要求其他指南评估程序增加了新标题, 用于将 PCI DSS 范围界定章节同抽样章节区分开企业设施 / 系统组件抽样对于评估商 : 企业设施 / 系统组件抽样加强对评估商的抽样指南其他指南遵从性报告的说明与内容遵从性报告的说明与内容原先的内容重新分配到单独的文件中 PCI DSS ROC 模板和 PCI DSS ROC 报告说明 PCI DSS 遵从性 - 实施步骤 PCI DSS 评估流程已更新该章节, 更专注于评估流程, 而不是文件资料详细的 PCI DSS 要求和安全评估程序详细的 PCI DSS 要求和安全评估程序在该章节开始处, 增加了对本章节中列标题进行定义的文字, 删除了对到位不到位和预定日期 / 评述列的引用到 3.0 的变更汇总 PCI 安全标准委员会权所有保留所有权利第 3 页

4 对 PCI DSS 要求所实施的综合变更增加了新列, 用于描述每条要求的目的, 内容出自原先的 PCI DSS 导航指南文件该列中的指南旨在帮助读者理解要求的目的, 并不替代或扩充 PCI DSS 要求和测试程序为安全政策和日常操作程序 ( 原先的第和 12.2 要求 ) 分配新要求编号, 将要求和测试程序移至第 1-11 要求为保持统一和一致性, 更新了要求和 / 或相应的测试程序文字内容为阐述清楚, 将复杂的要求 / 测试程序分开阐述 ; 同时删除了多余的或重叠的测试程序加强测试程序的内容, 以明确每条要求所需的认证标准其他指南其他整体编辑变更包括 : 删除以下列 : 到位不到位和预定日期 / 评述对要求和测试程序重新编号以适应变更为提高可读性重新编排要求和测试程序的格式, 例如, 段落内容重新编辑格式, 改为使用项目符号标注的要点等为提高可读性对文件内容的措辞进行微调纠正排印错误要求要求 x 1.1.x 说明必须记录并实施防火墙和路由器标准说明网络图必须包含的内容, 并在中增加了新要求, 增加了一幅显示持卡人数据流量的当前图表说明用以指定 SNMP 1 和 2 的不安全服务协议和端口的示例说明保护路由器配置文件的目的在于保护其免受未授权访问说明控制无线网络和 CDE 之间流量的目的在于仅允许授权流量到 3.0 的变更汇总 PCI 安全标准委员会权所有保留所有权利第 4 页

5 说明要求的目的在于执行反欺骗措施以检测并阻止伪造的源 IP 地址进入网络为保证一致性, 统一要求和测试程序的描述语言要求说明更改供应商默认密码的要求适用于所有默认密码, 包括系统应用程序安全软件终端等 ; 说明删除或禁用不必要的默认帐户说明要求的目的在于所有无线供应商的默认值在安装时更改说明系统配置标准包括更改所有供应商提供的默认值和不必要默认帐户的程序中的要求拆分为两项, 分别关注必要的服务协议和端口 (2.2.2) 和安全的服务协议和端口 (2.2.3) 2.4 新增内容, 要求维护一份 PCI DSS 范围内系统组件的清单, 用以帮助制定配置标准要求为说明要求并减少赘述, 第要求和测试程序并入要求说明如果收到敏感验证数据, 在完成验证流程后使所有数据不可恢复说明针对支持发卡服务且存储敏感验证数据的公司测试程序将原先的备注合并至要求主体中, 并加强测试程序的内容, 以说明掩盖 PAN 要求的目的说明磁盘加密的逻辑访问必须予以分别管理, 并且与本地操作系统验证和访问控制机制彼此独立, 并说明解密密钥决不能与用户帐户关联说明必须记录并实施密钥管理程序第要求拆分为两项, 分别关注以安全的形式存储密钥 (3.5.2) 和尽量减少密钥安全存储的地方 (3.5.3) 第要求还提供更多安全存储密钥的选择, 以提高灵活度到 3.0 的变更汇总 PCI 安全标准委员会权所有保留所有权利第 5 页

6 要求 x 3.6.x 增加了测试程序, 用以确认密钥管理程序的实施说明分割知识和双重控制的原则要求 5 要求 5 - 综合变更为保证一致性, 统一要求和测试程序的描述语言同时补充了开放式公共网络的示例更新了标题以反映要求的目的 ( 在于为所有系统提供恶意软件防护 ) 新增了内容, 要求评估通常不受恶意软件影响的系统, 确定不断进化的恶意软件威胁为保证一致性, 统一要求和测试程序的描述语言 5.3 要求新增了内容, 要求确保杀毒机制积极运行 ( 原先位于第 5.2 要求 ), 且无法被用户禁用或更改, 除非管理人员根据具体情况做出有时间限制的明确授权调换了第 6.1 和 6.2 要求的顺序第 6.1 要求现为识别新安全漏洞并标识风险等级, 第 6.2 要求为安装关键漏洞补丁说明风险等级标识流程 (6.1) 如何同安装补丁流程 (6.2) 协调一致请参阅上述第 6.1 要求的解释此外, 说明本要求适用于适用补丁增加了一条备注, 用以说明书面软件开发流程的要求适用于所有内部开发的软件以及定制软件为说明要求的目的, 将预生产变更为开发 / 测试加强测试程序的内容, 从第至的所有要求全部加入文档审查到 3.0 的变更汇总 PCI 安全标准委员会权所有保留所有权利第 6 页

7 统一要求和测试程序的描述语言, 用以说明生产 / 开发环境分离通过访问控制得以执行更新了开发人员的培训, 加入避免常见编码漏洞的方法和了解内存中敏感数据处理方法的相关内容 6.5.x 6.5.x 更新了要求, 以反映当前和新兴的编码漏洞和安全编码指南更新了测试程序, 用以说明编码技术解决漏洞的方法新增编码实践的要求, 用以阻止失效的验证与会话管理 2015 年 7 月 1 日起生效要求指定可检测和防范基于网络攻击的自动化技术解决方案, 取代网络应用程序防火墙的表述, 以提高灵活度增加了备注, 用以说明本评估与第 11.2 中要求的漏洞扫描不同改变了测试程序的措辞, 以说明根据从第至各条要求的变更, 政策所包括的内容新增了 7.1.1, 定义每个角色的访问需要, 用以支持从第至的各条要求调整本要求, 专注于将特权用户 ID 限制为所需的最小权限, 同时加强测试程序的内容调整本要求, 专注于基于个人的工作分类和职能分配访问权限删除了原先的第要求 ( 在第 7.2 要求中涵盖 ) 到 3.0 的变更汇总 PCI 安全标准委员会权所有保留所有权利第 7 页

8 要求 8 要求 8 - 综合变更更新了标题以反映要求的目的 ( 在于识别并验证对系统组件的访问 ) 更新并重新整理了要求, 用以提供更全面的用户验证和识别方法 8.1 专注于用户识别 8.2 专注于用户验证更新了要求, 用以考虑除密码以外的验证方法将要求仅适用于密码 / 口令处的密码变更为密码 / 口令将要求适用于任何验证凭证处的密码变更为验证凭证说明密码安全要求适用于第三方供应商使用的帐户说明对远程供应商访问的要求适用于访问支持或维护系统组件的供应商, 并说明应在不用时禁用说明在传输和存储过程中必须使用强效加密法, 使所有验证凭证不可读说明在修改验证凭证前, 必须验证用户身份 ; 并增加了提供新令牌和生成性密钥, 作为修改的示例将最低密码复杂度和长度要求合并为一条要求 ; 增加了达到等效复杂性和强度要求的备选方案, 提高灵活度说明双因素验证的要求适用于用户管理员及所有第三方, 包括基于支持或维护目的的供应商访问加强要求的内容, 加入针对用户保护自己的验证凭证的方法的记录和传达指南 ( 方法包括密码 / 口令重用, 更改怀疑已经受到威胁的密码 / 口令 ) 新增内容, 要求可远程访问客户所在地的服务提供商, 为每位客户使用唯一验证凭证 2015 年 7 月 1 日起生效新增在使用其他验证机制 ( 例如物理或逻辑安全令牌智能卡证书等 ) 的情形下的要求该机制必须同单个帐户相关联, 确保该机制下只有既定用户可以获得访问权限到 3.0 的变更汇总 PCI 安全标准委员会权所有保留所有权利第 8 页

9 要求为保证一致性, 统一要求和测试程序的描述语言说明本要求的目的在于实施物理和 / 或逻辑访问控制, 用以保护公共网络插座交换机 9.2.x 9.2.x 说明本要求的目的在于识别区分并授予现场工作人员和访客访问权限, 说明工卡只是一种选择 ( 非强制规定 ) 9.3 新增内容, 要求控制现场工作人员对敏感区域的物理访问, 包括授权访问到期后立刻撤销访问权限的流程 9.3.x 9.4.x 统一要求和测试程序的描述语言, 为保持一致性, 并说明访客必须始终有人陪同, 说明访客的活动检查记录必须包括进入经营场所计算机房和 / 或数据中心的活动 x 要求原先的第 9.6 要求移动了位置并重新编号为 9.5, 原先的第 9.5 要求重新编号为第子要求原先的第 9.7 要求移动了位置并重新编号为 9.6, 原先的第 9.8 要求重新编号为第子要求原先的第 9.9 要求移动了位置并重新编号为 9.7, 原先的第 9.10 要求重新编号为第 9.8 要求新增内容, 要求保护通过直接接触卡本身便可捕获支付卡数据的设备, 以避免设备被篡改和替换 2015 年 7 月 1 日起生效说明应执行检查记录, 将系统组件的访问链接到个人用户, 而不只是建立流程说明本要求的目的是将对持卡人数据的所有个人用户访问全部纳入需要作检查记录的范围内加强要求的内容, 加入识别和验证机制的变更 ( 包括但不限于新建帐户提升权限 ) 以及具有 root 或管理员权限帐户的所有变更添加或删除加强要求的内容, 加入关闭或暂停检查日志到 3.0 的变更汇总 PCI 安全标准委员会权所有保留所有权利第 9 页

10 x 说明日志审核的目的在于识别异常情况或可疑活动, 提供更多有关日常日志审核范围的指南此外, 规定每日审核安全事件和关键系统日志, 定期审核其他日志事件 ( 由该实体的风险管理策略确定 ), 提高灵活度要求 x 11.1.x 加强要求的内容, 加入授权无线接入点清单和业务理由记录 (11.1.1), 用以支持扫描未授权无线设备 ; 新增要求 , 同现有测试程序保持一致, 用以在检测到非授权无线接入点时实施事故响应程序增加了合并多个扫描报告以便获取并记录通过结果的相关指南说明每季度一次的内部漏洞扫描视包括重复扫描 ( 视需要而定 ), 直至所有高风险漏洞 ( 具体规定请参阅第 6.1 要求 ) 均得以解决, 且必须由合格人员执行扫描说明外部漏洞扫描包括重复扫描 ( 视需要而定 ), 直至获得扫描通过结果 ; 新增一条备注, 指出对 ASV 计划指南的参照说明在发生任何重要变更后执行的内部和外部漏洞扫描视包括重复扫描 ( 视需要而定 ), 直至所有高风险漏洞 ( 具体规定请参阅 PCI DSS 第 6.1 要求 ) 均得以解决, 且必须由合格人员执行扫描新增实施穿透测试法的要求 2015 年 7 月 1 日起生效在发布前, 必须遵守中的穿透测试要求其他指南拆分原先的第 11.3 要求为如下部分 : 第要求规定外部穿透测试要求 ; 第要求规定内部穿透测试要求根据原先的测试程序 (11.3.b) 创建新要求, 用以修复在穿透测试中发现的可利用漏洞, 并通过重复执行测试确认修复新增要求, 如果利用网络分段将 CDE 与其他网络隔离, 应执行穿透测试, 用以确认该分段方法行之有效到 3.0 的变更汇总 PCI 安全标准委员会权所有保留所有权利第 10 页

11 指定用以检测和 / 或防御网络入侵的入侵检测和 / 或入侵防御技术, 取代原先的入侵检测和 / 或入侵防御系统表述, 以此提高灵活度指定变更检测机制, 取代原先的文件完整性监控表述, 以此提高灵活性新增内容, 要求实施流程, 针对变更检测机制发出的任何警报做出响应 ( 支持要求 11.5) 要求将原先的第要求 ( 要求信息安全政策满足所有 PCI DSS 要求 ) 和原先的第 12.2 要求 ( 要求操作安全程序 ) 合并为一条要求, 并移至第 1 至 11 要求, 作为每条要求的必达要求将原先的第要求移至第要求将原先的第要求 ( 要求进行每年一次的风险评估流程 ) 移至第 12.2 要求, 并说明风险评估至少每年执行一次, 并在环境发生重大变更后也需执行评估说明贴标是一种可使用方法的示例新增测试程序, 用以验证非活跃状态持续一段时间后中断远程访问会话的政策得到执行统一要求和测试程序的描述语言, 用以说明如果有经批准的业务需, 允许工作人员通过远程访问技术访问持卡人数据, 则必须按照所有使用的 PCI DSS 要求保护数据说明实施并维护政策和程序的目的是管理共享持卡人数据或可影响持卡人数据安全的服务提供商说明服务提供商应维护一份书面协议 / 确认, 明确相应的责任新增内容, 要求维护涉及分别由服务提供商和实体管理的 PCI DSS 要求的信息到 3.0 的变更汇总 PCI 安全标准委员会权所有保留所有权利第 11 页

PCI DSS. 版中的 PCI DSS 优先方法 PCI DSS 遵从性是持续的过程补救评估报告免责声明要实现 PCI DSS 遵从性, 组织必须满足所有的 PCI DSS 要求, 不管满足要求的顺序如何, 或者寻求遵从性的组织是否遵照 PCI DSS 优先方法本文档不修改或删减 PC

PCI DSS. 版中的 PCI DSS 优先方法 PCI DSS 遵从性是持续的过程补救评估报告免责声明要实现 PCI DSS 遵从性, 组织必须满足所有的 PCI DSS 要求, 不管满足要求的顺序如何, 或者寻求遵从性的组织是否遵照 PCI DSS 优先方法本文档不修改或删减 PC PCI DSS. 版中的 PCI DSS 优先方法寻求 PCI DSS 遵从性的优先方法支付卡行业数据安全标准 (PCI DSS) 提供了 1 条详细的要求结构, 旨在确保商户和其他组织存储处理和 / 或传输的持卡人数据的安全性鉴于该标准的综合性, 该标准提供了大量的安全性信息, 以致于有些负责持卡人数据安全的人员可能不知道持续的遵从旅程应该从何入手为此, PCI 安全标准委员会提供如下优先方法,