PDF《PCI DSS V3.2 再回首 ——谈谈在 2018 年强制执行的要求》

Last Changed: 2018-2-12 ?2018 atsec information security Owner: atsec Document Id: CO0264EN Classification: atsec confidential Status: released Version: 1.

1 PCI DSS V3.2 再回首-v1.1-gh.doc Page

1 of

10 PCI DSS V3.2 再回首 ――谈谈在

2018 年强制执行的要求 作者:沈国华、高向东(atsec 中国)

2018 年1月关键词:PCI DSS、信息安全、变更管理、事件管理,密码学 本文为 atsec 和作者技术共享类文章,旨在共同探讨信息安全业界的相关话题.未经许可,任何单位及个人 不得以任何方式或理由对本文的任何内容进行修改.转载请注明:atsec 信息安全和作者名称 atsec(Beijing) information technology Co., Ltd Floor 3, Block C, Building 1, Boya C-Center, Beijing University Science Park, Life Science Park Changping District, Beijing, Postcode:

102206 P.R.China Tel +86-10-53056681 Fax +86-10-53056678 www.atsec.cn atsec: PCI DSS V3.2 再回首 Version: 1.1 / 2018-2-12 ?2018 atsec information security atsec / released PCI DSS V3.2 再回首-v1.1-gh.doc Classification: atsec confidential

2 /

10 目录

1 PCI DSS 标准发展背景.3

2 第一部分:PCI DSS V3.2 标准回顾

4 3 第二部分:2018 年1月31 日起强制实施的要求.5 3.1 PCI DSS 要求 3.5.1.5 3.2 PCI DSS 要求 6.4.6.5 3.3 PCI DSS 要求 8.3.1.6 3.4 PCI DSS 要求 10.8 和10.8.1.6 3.5 PCI DSS 要求 11.3.4.1.7 3.6 PCI DSS 要求 12.4.1.7 3.7 PCI DSS 要求 12.11 和12.11.1

8 4 第三部分:2018 年6月30 日起强制实施的要求.9

5 小结和参考文献

10 atsec: PCI DSS V3.2 再回首 Version: 1.1 / 2018-2-12 ?2018 atsec information security atsec / released PCI DSS V3.2 再回首-v1.1-gh.doc Classification: atsec confidential

3 /

10 1 PCI DSS 标准发展背景 根据 PCI(Payment Card Industry)标准生命周期要求,每三年更新标准版本,并伴随 IT 信息技术产 业发展不定期发布标准的小版本更新.早在

2016 年4月,PCI SSC(Payment Card Industry Security Standards Council)支付卡产业安全标准委员会就已经正式发布了 PCI DSS(Payment Card Industry Data Security Standard)支付卡产业数据安全标准的 V3.2 版,并要求于当年的

11 月开始全面使用 V3.2 开展评 估工作并出具合规性报告. 自PCI DSS V3.2 发布至今已有近两年的时间,很多接受评估的机构(包括收单机构、发卡机构、服务 提供商或商户)已经连续两年使用 V3.2 标准开展合规建设和评估工作.而在 PCI DSS V3.2 的诸多要求中, 存在这样一些特殊的标准要求:这些要求在

2018 年1月31 日之前可作为机构进行 PCI DSS 标准合规建设 的最优方法,而在

2018 年1月31 日之后成为标准的正式强制要求.本文的目的是分析这些在

2018 年变为 强制的要求,以期对执行合规的机构有相应的指导与帮助. atsec: PCI DSS V3.2 再回首 Version: 1.1 / 2018-2-12 ?2018 atsec information security atsec / released PCI DSS V3.2 再回首-v1.1-gh.doc Classification: atsec confidential

4 /

10 2 第一部分:PCI DSS V3.2 标准回顾 PCI DSS V3.2,共计

6 大类

12 个要求,该标准框架自 PCI DSS V1.0 开始至今没有变化.基于

12 个要 求,标准提出更为细致的具体要求,而这些具体的要求才是最终指导标准合规工作的落脚点. 建立并维护安全的网络和系统 要求

1 安装并维护防火墙配置以保护持卡人数据 要求

2 不要使用供应商提供的默认系统密码和其他安全参数 保护持卡人数据 要求

3 保护存储的持卡人数据 要求