PCI 2.0可能会使评估的影响轻微下降
总而言之,大部分的标准更改意味着PCI评估过程中工作量的减少。更改后的标准为评审员或企业都提供了额外的灵活度,从而可以缩小评估工作的范围,并允许进行有梯度的评估,适用于企业和QSA(质量体系评定)。梯度评估使得企业不会再为争论自己的部署是否符合苛刻的参数而花费大量时间;在和控制范围的描述说明结合在一起后,企业和服务提供商之间耗时巨大的讨价还价的情况就大大减少了,它还能减少质量体系评定时关于意图与实际意义的争论。下表列举了具有以下特点的领域:标准的更改对PCI评估工作没有影响,或者减轻了评估过程的工作强度。
要求 | 被提议的更改 | 评估的影响 |
PCI DSS简介 | 说明: PCI DSS Requirements 3.3和3.4只适用于在PTS(虚拟终端)SRED(安全阅读和数据交换模式)下的 PAN. Align语言 | 在大多数情况下,对评估工作会有极小的影响。如果企业或者企业的QSA在过去的评估中将3.3和3.4用于其他持卡人资料,有可能会造成在对工作量进行评估时,评估范围的缩小。 |
评估的范围 | 说明:所有岗位和持卡人资料的流动应该被确定和记录在文件中,确保对持卡人资料环境的准确界定。 | 有可能存在影响的领域(如下所述) |
PCI DSS简介和各种不同的要求 | 对系统组件定义的扩展,使其包括虚拟组件。对要求2.2.1进行更新,来说明“一台服务器,一项主要功能”的内涵,并使用虚拟化。 | 有可能存在影响的领域(如下所述) |
PCI DSS要求1 | 提供对互联网和持卡人资料环境之间的安全边界的说明。 | 从描述中来看,还不清楚所谓的说明究竟是什么。不过,当前对将CDE(通用桌面环境)从互联网中分离出来所要进行的控制相对明晰了。这一要求只会带来极小的影响。 |
PCI DSS要求3.2 | 要认识到这一点,发行人存储敏感的认证数据要有合法的商业需求。 | 发行人的商业要求与对企业和服务提供商进行评估关系不大。对评估所需工作量影响极小。 |
PCI DSS要求3.6 | 对密钥的改变、废弃和替换的过程进行说明,并增加其灵活性,采用分裂控制(split control)和双重知识。 | 从对更改情况的描述中,我们没有获得足够的信息来获悉这一点究竟如何改变。改变的目的是提高灵活性,这也意味着评估工作量的减少。 |
PCI DSS要求6.2 | 对要求进行更新,允许把不安全因素进行排列,并根据风险大小进行优先化处理。 | 这一点使得要求与目前企业所进行的工作更加合拍;在评估过程中,这项要求的实现情况可以用梯度来进行展示。 |
PCI DSS要求6.5 | 将要求6.3.1融合进6.5 中,消除在对内部和面向Web的应用进行安全编码时的冗余。包括额外的安全编码标准,例如CWE和CERT。 | 将这两个领域进行整合,可以带来评估工作量的减少。因为这样一来,对同样的控制,企业和QSA人员就不必进行两次了。 |
PCI DSS要求12.3.10 | 对要求进行更新,在远程访问时,要求提供对CHD进行复制,移动和储存的正当商业理由。 | 这项改动意识到:企业在进行远程访问时,需要对持卡人的资料进行操作。因此,企业在进行这项操作时就不必书写补偿性控制了。 |
正如你所看到的,除了两个已经提及的领域,该表格中所列项目对评估所造成的影响都相对较小。反而是另外的两个领域,商人和服务供应商或许更乐于保持警惕。
