分析师称,定于今年晚些时候发布的PCI数据安全标准(PCI Data Security Standard)新版本可能会吸引更多关注,因为它没有解决的问题,而不是改变了什么。
这个评估是基于建议更改的预览该标准是由管理支付卡行业数据安全标准(PCI DSS)的机构PCI安全标准委员会今天发布的。
预览显示,PCI DSS 2.0的大部分变化(计划在10月发布)将是渐进式的,不太可能给PCI覆盖的公司带来大麻烦。
新版本的重点似乎是充实和澄清现有的指导方针,而不是引入新的指导方针。
但分析师表示,新标准似乎在很大程度上未触及PCI理事会的几个问题,企业正寻求从这些问题中获得更多指引。
Gartner分析师Avivah Litan表示:“标准的修订似乎是积极的一步,似乎没有给遵守标准的组织强加太多额外的工作和不合理的要求。”
她说:“但在PCI合规要求方面,明显缺乏的是在困难和最重要的问题上取得的进展,包括采用替代技术的影响。”
根据Litan的说法,许多Gartner的客户正在试图了解他们是否采用了新的技术,如芯片卡、标记化和端到端加密将限制其合规要求的范围,利坦说。
但她说,围绕这类问题的大多数澄清都留给了特殊利益集团(SIG)来解决。她说:“这些SIGS没有任何特定的最后期限,目前还不清楚他们的报告将如何纳入PCI要求。”
为美国许多大型零售商提供PCI评估服务的Trustwave高级副总裁James Paul表示,PCI安全委员会围绕虚拟化技术的指导将是另一个将受到密切关注的领域。
“总的来说,这里没有什么大惊喜。在提议的清单中,肯定没有什么会让我们的客户感到心痛。”保罗说。
他说,今天的预览表明,新标准将为虚拟化技术的使用将如何影响PCI符合要求提供新的指导。但他说,这在很大程度上取决于新版标准提供的细节数量。
Paul说:“我很高兴他们提供了一些关于虚拟化的额外指导。”“但我们无法迅速获得足够多的具体细节。”
他说,许多Trustwave客户现在想知道他们使用虚拟化技术是否会增加他们的PCI需求范围。“这是一项新兴技术。围绕它有很多问题,”他说。“在看到一些指导意见之前,很多人都有些犹豫是否要深入研究。”
PCI安全理事会总经理Robert Russo表示,PCI DSS标准的计划更改是对标准涵盖的公司的反馈的回应。
Russo说,该标准没有太多实质性的变化,这一事实“证明了该标准的强大和成熟”。他说,该委员会收到的反馈中有55%以上来自美国以外的公司,这也表明该标准已经变得多么全球化。
他补充说,今天的预览版旨在让相关实体了解PCI DSS 2.0中包含的变化,并让他们有机会对其进行评论。
Russo表示,PCI DSS中更重要的变化包括要求公司识别其网络中持卡人数据所在的所有位置,以及要求公司实现Web应用程序的集中记录。
同样重要的是一种新的基于风险的解决漏洞的方法,这将允许公司在纠正漏洞时考虑他们的特定环境。
Jaikumar Vijayan为Computerworld报道数据安全和隐私问题、金融服务安全和电子投票。在推特上关注贾库马尔@jaivijayan或订阅Jaikumar的RSS提要.他的电子邮件地址是jvijayan@computerworld.com.
阅读更多关于安全硬件和软件的信息在计算机世界的安全硬件和软件主题中心。
这篇文章,“PCI数据安全标准的变化留下了未回答的问题”最初是由《计算机世界》 .