支付卡行业数据安全标准2.0将于9月初发布。该标准规定企业必须如何保护其网络上的敏感持卡人信息。
它将被称为支付卡行业数据安全标准2.0,据负责该标准的组织称,该即将出台的标准的全面文本将于9月初公布,该标准规定企业必须如何保护其网络上的敏感持卡人信息。
与目前的情况相比,不会有什么大的变化DSS 1.2据PCI安全标准委员会总经理Bob Russo说。但是DSS v. 2.0将寻求澄清PCI要求在企业安全方面的含义。
最突出的将是与PCI评估过程相关的新建议,即确定敏感持卡人数据存在的位置,以便网络的特定部分受PCI数据安全标准的约束。鲁索说,如今的问题是,处理持卡人数据的企业往往不知道数据的去向。
“他们会说,‘我们在我们的网络中最模糊的部分发现了数据,我们不知道它在那里,’”鲁索说。“我们需要一些方法来找到持卡人的数据。”罗素表示,相关建议将包括数据丢失预防技术或发现工具,以找到持卡人的数据。
虚拟化也有点这是一个多年来备受争议的问题例如,DSS第2.2.1节只调用每个服务器的一个主要功能,这是否会阻止对PCI数据使用虚拟化。
“当然没有禁止使用虚拟环境的禁令,”Russo说。虽然PCI DSS 2.0将寻求在虚拟化问题上增加更多的清晰性,但更深入的讨论有望在明年发布的单独指导文档中出现。
另一个热门话题是端到端加密PCI持卡人数据,一些人呼吁全行业采用这种技术,以防止进一步的旨在窃取大量支付卡数据的网络攻击。
但委员会目前还不打算就此划清界限。
“我们不会建议任何人做任何事情,”鲁索说。“如果你在其中添加更多的安全层,这是一件好事。”然而,即将发布的2.0标准可能包括关于如何使用端到端加密来满足现有PCI需求的指导。
该委员会注意到的一件事是尽量不增加迫使企业花更多钱的新要求。“我们不能让人们把钱花在技术上,”鲁索指出。
尽管被称为合格安全评估员(QSA)的供应商已经获得认证,可以进行实际的合规审计,但该委员会仍然处于尴尬的境地,被认为是一个直接的接触来源,以获取关于什么构成符合PCI合规的合适安全的意见。(有一种估计是每年的成本PCI合规性审计为225000美元)。
正在进行PCI合规审计的业务和QSA做它可能想要委员会的意见,因为在技术或过程中的大量投资可能是在风险中满足合规目标。
“我们会参与进来,”罗素说,他说委员会将“在中间帮助做出决定。”
即将到来的PCI DSS 2.0将包含当前DSS中提出的许多其他要求的澄清。例如,Russo说,在关于密码强度的8.5节中,委员会“将澄清,这不是针对收银机或POS (POS)设备的人。”
一旦即将到来的PCI DSS 2.0的文本出来,它将在委员会的社区会议上被讨论,包括今年9月在奥兰多的会议。计划在10月底正式确定DSS 2.0标准,并于明年1月1日生效。