要求只涵蓋到應(yīng)該已受到保護(hù)的PAN。

 評(píng)估范疇

 闡明應(yīng)該識(shí)別的持卡人數(shù)據(jù)的所有存放位置和流向,并記載以確保持卡人數(shù)據(jù)環(huán)境的精確范疇。

 額外的指導(dǎo)性說明

 僅當(dāng)組織尚未識(shí)別所有的PAN實(shí)例和沒有正確地為CDE劃定范圍時(shí)需要變化。

 PCI DSS介紹和各種要求

 擴(kuò)展系統(tǒng)組件的定義來包含虛擬組件。
更新的要求2.2.1規(guī)定要闡明“每個(gè)服務(wù)器的一個(gè)主要功能”和使用虛擬化的意圖。

 額外的指導(dǎo)性說明

 沒有變化:虛擬化是可選的。僅當(dāng)組織打算在CDE中實(shí)施虛擬化技術(shù)時(shí)需要改變。沒有需要控制的基礎(chǔ)性變化。

 PCI DSS要求1

 提供了互聯(lián)網(wǎng)和持卡人數(shù)據(jù)環(huán)境之間安全邊界的解釋。

 解釋性說明

 如果公司已在互聯(lián)網(wǎng)和CDE之間設(shè)置恰當(dāng)?shù)慕缦迍t不需要改變。

 PCI DSS要求3.2

 確認(rèn)發(fā)卡人有合法的業(yè)務(wù)需要來存儲(chǔ)敏感的認(rèn)證數(shù)據(jù)(SAD)。

 解釋性說明

 對(duì)于貿(mào)易商/零售商沒有變化;允許發(fā)卡人存儲(chǔ)SAD而不違反PCI DSS。

 PCI DSS要求3.6

 闡明加密密鑰變更、過期和替換密鑰的處理并增加靈活性,使用劃分控制和雙重認(rèn)證。

 解釋性說明

 沒有變化;為密鑰管理實(shí)踐中的已歸檔數(shù)據(jù)提供余地。

 PCI DSS要求6.2

 更新要求來允許根據(jù)風(fēng)險(xiǎn)對(duì)漏洞進(jìn)行排名和優(yōu)先級(jí)排序。

 演變的要求

 沒有變化;優(yōu)先級(jí)排名是可選的。

 PCI DSS要求6.5

 融合要求6.3.1到 6.5中來消除用于內(nèi)部和面向Web應(yīng)用的安全編程部分的多余內(nèi)容。例如CWE和CERT額外的安全編程標(biāo)準(zhǔn)。

解釋性說明 

 沒有變化;只刪除了多余的要求。

 PCI要求12.3.10

 更新需求來為遠(yuǎn)程訪
問中對(duì)持卡人數(shù)據(jù)(CHD)的拷貝、移動(dòng)和存儲(chǔ)提供業(yè)務(wù)依據(jù)。

 解釋性說明 

 沒有變化;在遠(yuǎn)程訪問中拷貝、移動(dòng)和存儲(chǔ)持卡人數(shù)據(jù)是可選的操作。

分享到

liukai

相關(guān)推薦