转载

PCI DSS 3.0可选要求即将变成强制性要求

企业需要评估PCI DSS 3.0要求，并为2015年6月30日的强制性改变做好准备。本文中专家Mike Chapple讨论了如何为最后期限备战。

两年前，企业在评估PCI DSS 3.0变化带来的影响时，可能注意到有一组要求被标记为“在2015年6月30日之前，要求X为最佳做法，而在该日期之后，该要求将变成强制性要求”。如果企业当时的回应是“我们可晚点再处理”，那么现在，企业要注意这个时刻即将到来。

当PCI SSC在2013年11月发布最终PCI DSS 3.0标准时，他们意识到有些要求修改会对企业带来非常显著的影响，所以，他们向商家和服务提供商提供了20个月的宽限期来慢慢适应这些变化。本文中我们将看看这些即将变为强制性要求的可选要求及其对企业的影响。

顺便提一下，PCI SSC最近发布了PCI DSS 3.1版，此更新版本主要涵盖对不安全的SSL/TLS协议的使用，并不会改变这些延迟的PCI DSS 3.0要求。虽然说，你应该为PCI DSS 3.1制定计划，但你首先要解决这些要求。

读卡设备的物理安全

Requirement 9.9要求商家“保护通过直接物理解除来获得支付卡数据的设备，防止设备被篡改和替换”。这一要求旨在防止略读和其他攻击技术篡改读卡器本身，该要求适用于有卡交易的商家。

如果企业有销售点终端设备允许客户或员工刷卡支付，则企业还有一个月的时间来满足这一要求。企业需要遵守以下政策，并进行文档记录，这包括：维护所有刷卡设备的库存清单、定期检查这些设备以及对人员进行培训，让他们了解物理安全的重要性以及设备篡改带来的风险。

渗透测试方法更新

在PCI DSS 3.0中，最大的变化之一是Requirement 11.3中渗透测试方法的严谨性。PCI委员会开始规范渗透测试的范围以及测试人员使用的技术。在6月30号之后进行的所有测试必须遵循新的标准。

企业在重新设计测试方法期间，应该仔细阅读该标准中的详细内容，下面是其中的基本要求：首先，企业必须使用业界公认的方法进行测试，PCI委员会推荐NIST SP800-115.其次，测试必须包括对所有持卡人数据环境组件的内部和外部测试，包括范围缩减技术，例如网络分段。第三，包括网络和应用层测试。最后，企业必须让测试结合风险评估，并且，按照正式的保留时间表来保存测试和修复结果的文档。