安全资讯:令人迷惑的PCI安全标准更新

有消息称,一款新版本的PCI数据安全标准会在今年晚些时候发布,与这些标准的带来的更新相比,这个新标准带来的未知性似乎更能吸引人的眼球。

上述言论是基于PCI安全标准委员会最近发布的标准修改建议预览提出的,该标准协会负责管理银行卡支付行业数据安全标准(PCI DSS)。该预览显示,定于在10月份发布的PCI DSS 2.0中的多数更改都将是渐近性质,不会为使用PCI标准的公司带来大的麻烦。但新版本的许多重点似乎是在充实和明确现有的标准,而没有引进新的东西。

Gartner的一位分析师Avivah Litan说:“该标准的修订看似是一个积极的步骤,而且也没有在遵守组织规则方面做额外的工作,并提出不合理的要求。” 但是她说“最大的缺乏是在更多重要的问题上没有取得进展,包括采用替代技术带来的影响。”

根据Litan所说,许多Gartner的客户都在试图了解他们对新技术的采用,包括芯片卡、记号化和终端到终端的加密是否会限制他们遵守规则的范围。

但是,围绕这些问题的澄清大多数是留给了特殊利益集团(SIG)来弄清楚,她如是说,“这些特殊利益集团没有被要求有具体的时间期限,而且他们目前还不清楚他们的报告如何符合PCI的要求。”

PCI安全委员会围绕虚拟技术的指导似乎正在向监管的领域靠近,Trustwave高级副总裁James Paul说,该集团为大多数大型的零售商提供PCI评估服务。

Paul说:“总体来说,这次更改没有什么大的惊喜。当然,那个建议预览表里面肯定也没有列出来我们的客户具体需要解决什么麻烦问题。令我欣慰的是,他们提供了一些针对虚拟化的额外的指导,但是还不是很详细。”

许多Trustwave的客户希望知道虚拟化技术的使用是不是可以增加他们PCI标准遵从的范围。他说:“这是一种新型的技术,在看到一些具体的指导之前,也有很多人犹豫是否会投资于这种新兴的技术。”

此标准没有什么实质性的更改的事实,表明这只是对现有标准的成熟度和实力的一种测试,而该委员会收到的反馈中,有55%的公司来自美国以外的事实,也是一种征兆,暗示了该标准如何才能够全球化。如今这个预览版本的设计是为了给这个标准所覆盖的实体提供一个PCI DSS 2.0所包含的修改风向,并为他们提供一个对此发表评论的机会。

Russo说这次PCI DSS最重大的变化包括要求企业识别持卡人数据所在地网络的所有地点,另一个是要求企业实现集中的Web应用日志管理。还有一个明显的变化是一种新的基于风险的处理漏洞方法,这可以允许公司在整治薄弱环节时能够考虑具体的情况再制定方法。