8月12日,PCI安全标准委员会发布了 “变更概要”文档,该文档针对即将发布的“支付卡行业数据安全标准”(PCI DSS)2.0版本和“支付卡应用数据安全标准”(PA DSS)涵盖了建议的变更。
最终的2.0版本于2010年10月28日发布。在本文中我们将回顾PCI DSS 2.0版本的关键变化,做出这些变化的原因以及对企业的意义。
PCI 2.0:好消息
对于积极地致力于PCI DSS和PA DSS合规的公司来说,最大的问题是:“这些改变会对当前的评估环节有何影响?”,以及“公司是否需要考虑这些重大变更并进行规划呢?”。第一个问题的答案是虽然2.0版本的标准现在可用于评审,但是直到2011年1月11日它才会生效。从该标准生效算起,正处于开发合规报告(RoC)中的组织有整整一年来遵从新的标准。也就是说还有很多时间来评审合规并为其进行规划。
然而,有理由相信变化的深度将使规划这一年花费上有很大的改变。如果变化是大范围的并且对当前系统升级需要昂贵的费用,那么一年就不是很长了。如果只是微小调整,对当前的支付卡系统变化很少或没有变化,那么在12个月内实施并完成应该是很容易的。这给我们带来了第二个问题:变化有哪些和为准备PCI DSS 2.0和PA DSS的面世,公司现在应该考虑什么?
同样还有一些特别棒的消息:对于大多数公司目前的持卡人数据环境(CDE)来说变化不大,并且应该不需要变化。因为大多数的变化,如其阐述的,只是为了扩展选项而不是要求变化或是限制选项。例如,虚拟化现在被关注和定义,但是虚拟化的使用仍是可选的。这个同样适用于要求6.2和要求12.3.10的变化,两者都为公司提供了一个可选项,因为许多公司要求能够使用虚拟化技术,但是不会否定或者妨碍来自1.2版本中相关选项的使用。