atsec沈国华、高向东
关键词:PCI DSS、信息安全、变更管理、事件管理,密码学
本文为atsec和作者技术共享类文章,旨在共同探讨信息安全的相关话题。转载请注明:atsec和作者名称。
根据 PCI(Payment Card Industry)标准生命周期要求,每三年更新标准版本,并伴随 IT 信息技术产业发展不定期发布标准的小版本更新。早在 2016 年 4 月,PCI SSC(Payment Card Industry Security Standards Council)支付卡产业安全标准委员会就已经正式发布了 PCI DSS(Payment Card Industry Data Security Standard)支付卡产业数据安全标准的 V3.2 版,并要求于当年的 11 月开始全面使用 V3.2 开展评估工作并出具合规性报告。
自 PCI DSS V3.2 发布至今已有近两年的时间,很多接受评估的机构(包括收单机构、发卡机构、服务
提供商或商户)已经连续两年使用 V3.2 标准开展合规建设和评估工作。而在 PCI DSS V3.2 的诸多求中,存在这样一些特殊的标准要求:这些要求在 2018 年 1 月 31 日之前可作为机构进行 PCI DSS 标准合规建设的最优方法,而在 2018 年 1 月 31 日之后成为标准的正式强制要求。本文的目的是分析这些在 2018 年变为强制的要求,以期对执行合规的机构有相应的指导与帮助。
…