两个需要注意的领域
最值得注意的改变是对PCI评估范围的说明(在上面更改清单的第二个条款里)。然而,该条款还不太明确,特别是如何在最终的文件中体现出范围的改变。但有一点可以肯定,最终文件里需要保留充分的记录,从而让参加评估的人能对范围的改变有所注意。可以明确的是,在上述情况中持卡人的数据流图表应该包括所有岗位和所有领域。
这对许多企业来说是个难题。实际情况表明,许多企业在这一点上并没有满足要求。乍一看,出示企业各个领域的最新持卡人数据流图表并非难事。但是,在一个大型的、具有多种不同业务部门的零售环境中,数据流图表可能只会涉及到一个业务部门,或者是整个企业付款流程系统的一部分。因此,评估范围的改变会促使不同业务部门间加强流动信息的共享(因为一个过程可能关系到多个业务部门),并确保所有的付款流程都在文件材料上体现出来。在进行评估时,相关文件的不足总是主要的问题之一。所以,这项改变也更凸显了原来就存在的一个老问题。
第二点,表面上看对虚拟化进行升级没什么危害,可是我们中的大多数一直面临着这么一个问题,即虚拟化如何与要求联系,例如“一台服务器需具备一项功能”(Requirement 2.2.1)。然而,将“系统组件”的定义扩展,使其包括虚拟化组件,从深层来看似乎有悖于Requirement 2.2.1,而且还会影响到其他的要求。例如,有些要求和测试步骤特别指出所涉及的是“所有系统组件”(Requirements 10.6指出, “系统组件的日志至少要每天检查一次”,Requirement 2.2,“所有的系统组件都需制定配置标准”)。
为“所有系统组件”进行定位的Requirements含蓄地表示,系统组件包括虚拟环境,测试步骤也是如此。因此,测试步骤2.2.a(“检查企业所有类型系统组件的系统配置标准,并核实这些标准是否与行业接受的硬性标准相一致”)意味着不仅企业本身要有一套与虚拟化环境相关的硬性标准,企业的评审员也要拥有和参考那套标准。而在以前的评估中,情况并非如此。
总的来说,对企业和服务提供商而言,该标准的这一版本意味着评估过程的精简,能够从某种程度上减轻由于实施PCI DSS规则遵从而带来的负担。不过,系统组件包括虚拟化组件和升级所需的文件材料又使评估过程变得复杂了。所以,在企业第一次进行PCI DSS 2.0标准评估时,一定要向评审员说明上述两点的情况。不过,从现在就开始对企业现有的控制部署还不能覆盖的领域进行规划仍是一个很不错的策略。