付款卡行业问题数据安全标准更新

支付卡行业安全标准委员会已发布对ThePayment Card行业数据安全标准（PCI DSS）的更新，以提供更明确的要求。

如众所周度的预期，PCI DSS版本3.2的少数更改之一是管理员对访问持卡人数据环境的管理员的要求，即使是从公司的自己的网络中也是如此。

以前，标准要求仅用于从不受信任的网络远程访问持卡人数据环境的远程访问。

为了为此变革做好准备，PCI委员会表示，组织应审查他们目前正在管理持卡人数据环境的身份验证，并审查当前的管理员角色并访问，以确定身份验证的更改可能受到新要求的影响。

PCI DSS版本3.2还介绍了服务提供商的要求：

版本3.2中的所有其他更改都是澄清或额外的指导。

虽然新版本取代了3.1版，但在2016年10月31日到期，安全标准委员会管理PCI DSS的安全标准委员会表示，接受，流程或收到付款的公司应该尽快采用它，以防止，检测和回应网络可能导致违规的攻击。

版本3.2中引入的所有要求将于2018年2月1日生效，这为商家提供了9个月，以便保持PCI DSS符合要求的任何必要变更。

“付款行业将PCI DSS识别为成熟标准，因此版本3.2的主要变化是关于帮助组织全年确认关键数据安全控制仍然存在的要求的初始变化，并且它们作为正在进行的一部分有效地测试它们安全监测过程，“PCI委员会总经理Stephen Orfei表示。

“这包括管理员和服务提供商的新要求，以及他们负责保护的持卡人数据环境。PCI DSS 3.2主张组织专注于人们，过程和政策，技术在减少整体持卡人数据足迹方面发挥着重要作用。“

标准的更新是确保PCI DSS解决当前挑战和威胁的常规过程的一部分。PCI委员会的行业反馈的这种过程因素来自700多个全球参与组织，以及数据违约报告调查结果和付款接受的变化。

“我们已经看到了攻击的增加，这些攻击是一个失败的攻击，允许犯罪分子访问系统未被发现，并妥协卡数据，”PCI委员会首席技术官Troy Leach表示。

“PCI DSS 3.2的显着变化包括多因素认证，作为任何具有管理访问的人员的人员处理卡数据。他说，单独的密码不应该足以验证管理员的身份并授予对敏感信息的访问权限，“他说。

服务提供商，特别是那些汇总大量卡数据的人，继续存在风险，称为leach。“PCI DSS 3.2包括一些更新，帮助这些实体表明良好的安全实践是积极和有效的，”他说。

展望未来，Leach表示，PCI委员会预计将增加3.2版的增量修订，以解决对支付景观的不断变化的威胁，重点是帮助公司使用本标准作为日常安全和商业最佳实践的好框架。