以下表格简单地列出了PCI DSS的所有变化(基于概要文档的信息),以及SecurityCurve站点的分析(这些变化对需要满足PCI DSS的组织的影响)。
|
要求 |
建议的变化 |
类别 |
实施影响分析 |
|
PCI DSS介绍 |
阐明PCI DSS要求3.3和 3.4只适用于主帐号(PAN)。同PTS的安全读取和数据交互(SRED)模块保持一致。 |
解释性说明 |
不需要变化; |
|
评估范畴 |
阐明应该识别的持卡人数据的所有存放位置和流向,并记载以确保持卡人数据环境的精确范畴。 |
额外的指导性说明 |
仅当组织尚未识别所有的PAN实例和没有正确地为CDE划定范围时需要变化。 |
|
PCI DSS介绍和各种要求 |
扩展系统组件的定义来包含虚拟组件。 |
额外的指导性说明 |
没有变化:虚拟化是可选的。仅当组织打算在CDE中实施虚拟化技术时需要改变。没有需要控制的基础性变化。 |
|
PCI DSS要求1 |
提供了互联网和持卡人数据环境之间安全边界的解释。 |
解释性说明 |
如果公司已在互联网和CDE之间设置恰当的界限则不需要改变。 |
|
PCI DSS要求3.2 |
确认发卡人有合法的业务需要来存储敏感的认证数据(SAD)。 |
解释性说明 |
对于贸易商/零售商没有变化;允许发卡人存储SAD而不违反PCI DSS。 |
|
PCI DSS要求3.6 |
阐明加密密钥变更、过期和替换密钥的处理并增加灵活性,使用划分控制和双重认证。 |
解释性说明 |
没有变化;为密钥管理实践中的已归档数据提供余地。 |
|
PCI DSS要求6.2 |
更新要求来允许根据风险对漏洞进行排名和优先级排序。 |
演变的要求 |
没有变化;优先级排名是可选的。 |
|
PCI DSS要求6.5 |
融合要求6.3.1到 6.5中来消除用于内部和面向Web应用的安全编程部分的多余内容。例如CWE和CERT额外的安全编程标准。 |
解释性说明 |
没有变化;只删除了多余的要求。 |
|
PCI要求12.3.10 |
更新需求来为远程访 |
解释性说明 |
没有变化;在远程访问中拷贝、移动和存储持卡人数据是可选的操作。 |
