要求只涵蓋到應(yīng)該已受到保護(hù)的PAN。
|
評(píng)估范疇
|
闡明應(yīng)該識(shí)別的持卡人數(shù)據(jù)的所有存放位置和流向,并記載以確保持卡人數(shù)據(jù)環(huán)境的精確范疇�。
|
額外的指導(dǎo)性說明
|
僅當(dāng)組織尚未識(shí)別所有的PAN實(shí)例和沒有正確地為CDE劃定范圍時(shí)需要變化���。
|
|
PCI DSS介紹和各種要求
|
擴(kuò)展系統(tǒng)組件的定義來包含虛擬組件���。
更新的要求2.2.1規(guī)定要闡明“每個(gè)服務(wù)器的一個(gè)主要功能”和使用虛擬化的意圖。
|
額外的指導(dǎo)性說明
|
沒有變化:虛擬化是可選的���。僅當(dāng)組織打算在CDE中實(shí)施虛擬化技術(shù)時(shí)需要改變。沒有需要控制的基礎(chǔ)性變化。
|
|
PCI DSS要求1
|
提供了互聯(lián)網(wǎng)和持卡人數(shù)據(jù)環(huán)境之間安全邊界的解釋��。
|
解釋性說明
|
如果公司已在互聯(lián)網(wǎng)和CDE之間設(shè)置恰當(dāng)?shù)慕缦迍t不需要改變����。
|
|
PCI DSS要求3.2
|
確認(rèn)發(fā)卡人有合法的業(yè)務(wù)需要來存儲(chǔ)敏感的認(rèn)證數(shù)據(jù)(SAD)。
|
解釋性說明
|
對(duì)于貿(mào)易商/零售商沒有變化��;允許發(fā)卡人存儲(chǔ)SAD而不違反PCI DSS��。
|
|
PCI DSS要求3.6
|
闡明加密密鑰變更���、過期和替換密鑰的處理并增加靈活性����,使用劃分控制和雙重認(rèn)證����。
|
解釋性說明
|
沒有變化;為密鑰管理實(shí)踐中的已歸檔數(shù)據(jù)提供余地��。
|
|
PCI DSS要求6.2
|
更新要求來允許根據(jù)風(fēng)險(xiǎn)對(duì)漏洞進(jìn)行排名和優(yōu)先級(jí)排序��。
|
演變的要求
|
沒有變化�����;優(yōu)先級(jí)排名是可選的。
|
|
PCI DSS要求6.5
|
融合要求6.3.1到 6.5中來消除用于內(nèi)部和面向Web應(yīng)用的安全編程部分的多余內(nèi)容��。例如CWE和CERT額外的安全編程標(biāo)準(zhǔn)��。
|
解釋性說明
|
沒有變化��;只刪除了多余的要求����。
|
|
PCI要求12.3.10
|
更新需求來為遠(yuǎn)程訪
問中對(duì)持卡人數(shù)據(jù)(CHD)的拷貝、移動(dòng)和存儲(chǔ)提供業(yè)務(wù)依據(jù)����。
|
解釋性說明
|
沒有變化;在遠(yuǎn)程訪問中拷貝����、移動(dòng)和存儲(chǔ)持卡人數(shù)據(jù)是可選的操作。
|
