—PCIDSS版本3.2.1包含小范围更新,旨在对已过期的SSL/早期TLS日期作出说明—
马萨诸塞州韦克菲尔德--(美国商业资讯)--PCI安全标准委员会(PCI SSC)今日发布了小幅修订版PCI数据安全标准(PCIDSS),该安全标准可在全球企业购买之前、期间和之后用于保护支付卡数据。PCI DSS版本3.2.1将取代版本3.2,以对已过期的有效日期和安全套接字层(SSL)/早期传输层安全性(TLS)迁移截止日期作出说明。PCI DSS v3.2.1未增加任何新的要求。PCI DSS v3.2在2018年12月31日之前仍然有效,2019年1月1日起不再适用。
PCI SSC首席技术官Troy Leach表示:“此次更新旨在消除v3.2中规定的PCIDSS要求有效日期以及SSL /早期TLS迁移日期方面的任何混淆。各组织禁用SSL/早期TLS并升级到安全替代方案以保护其支付数据,这一点至关重要。”
PCI DSSv3.2.1中的微小变更反映了一旦有效日期和SSL/TLS迁移截止日期已过,现行要求将如何受到影响,这样一来,各组织可在6月30日之后准确报告其执行情况如何满足这些现行要求。具体来说,这些变更包括:
- 删除针对适用要求的截至2018年2月1日有效日期的注释,因为此日期已过。
- 更新适用要求和附录A2,以反映在2018年6月30日之后,只有销售点交互点(POS POI)终端及其服务提供商连接点可继续使用SSL/早期TLS作为安全控制。
- 从附录B的补偿控制示例中删除多因素身份验证(MFA),因为目前所有非控制台管理访问都需要MFA;添加一次性密码作为此场景的替代潜在控制。
PCI DSSv3.2.1中的更新内容不会影响支付应用数据安全标准(PA-DSS),该安全标准仍在v3.2保留。
PCI DSSv3.2.1以及从v3.2升级到v3.2.1的变更汇总现可在PCI SSC网站上的文档库(DocumentLibrary)中查阅。从SSL和早期TLS信息补充、自我评价问卷(SAQ)和SAQ说明和指南迁移的更新版本随后即将发布,用于支持PCI DSS v3.2.1。
垂询详情,请阅读首席技术官Troy Leach的PCI Perspectives博客问答:PCIDSS的现状与展望(PCIDSS Now and Looking Ahead)。
关于PCI安全标准委员会
PCI安全标准委员会(PCISSC)是一个跨行业的全球性开放式论坛,致力于通过提供灵活、有效且以行业为导向的数据安全标准和程序提高支付安全性,帮助企业发现、缓解和阻止网络攻击和漏洞。在LinkedIn上与PCI SSC保持联系。在Twitter @PCISSC上参与会话。订阅PCIPerspectives博客。