要求只涵蓋到應該已受到保護的PAN。
|
評估范疇
|
闡明應該識別的持卡人數(shù)據(jù)的所有存放位置和流向��,并記載以確保持卡人數(shù)據(jù)環(huán)境的精確范疇���。
|
額外的指導性說明
|
僅當組織尚未識別所有的PAN實例和沒有正確地為CDE劃定范圍時需要變化����。
|
|
PCI DSS介紹和各種要求
|
擴展系統(tǒng)組件的定義來包含虛擬組件����。
更新的要求2.2.1規(guī)定要闡明“每個服務器的一個主要功能”和使用虛擬化的意圖�。
|
額外的指導性說明
|
沒有變化:虛擬化是可選的�����。僅當組織打算在CDE中實施虛擬化技術時需要改變���。沒有需要控制的基礎性變化�。
|
|
PCI DSS要求1
|
提供了互聯(lián)網(wǎng)和持卡人數(shù)據(jù)環(huán)境之間安全邊界的解釋��。
|
解釋性說明
|
如果公司已在互聯(lián)網(wǎng)和CDE之間設置恰當?shù)慕缦迍t不需要改變�。
|
|
PCI DSS要求3.2
|
確認發(fā)卡人有合法的業(yè)務需要來存儲敏感的認證數(shù)據(jù)(SAD)。
|
解釋性說明
|
對于貿(mào)易商/零售商沒有變化�;允許發(fā)卡人存儲SAD而不違反PCI DSS。
|
|
PCI DSS要求3.6
|
闡明加密密鑰變更�����、過期和替換密鑰的處理并增加靈活性�����,使用劃分控制和雙重認證�。
|
解釋性說明
|
沒有變化;為密鑰管理實踐中的已歸檔數(shù)據(jù)提供余地。
|
|
PCI DSS要求6.2
|
更新要求來允許根據(jù)風險對漏洞進行排名和優(yōu)先級排序�。
|
演變的要求
|
沒有變化;優(yōu)先級排名是可選的�����。
|
|
PCI DSS要求6.5
|
融合要求6.3.1到 6.5中來消除用于內(nèi)部和面向Web應用的安全編程部分的多余內(nèi)容���。例如CWE和CERT額外的安全編程標準。
|
解釋性說明
|
沒有變化��;只刪除了多余的要求�。
|
|
PCI要求12.3.10
|
更新需求來為遠程訪
問中對持卡人數(shù)據(jù)(CHD)的拷貝、移動和存儲提供業(yè)務依據(jù)����。
|
解釋性說明
|
沒有變化;在遠程訪問中拷貝��、移動和存儲持卡人數(shù)據(jù)是可選的操作�。
|
