到目前为止,支付卡行业安全标准委员会(PCI SSC)忙碌了一年,同时更新了其卡生产安全要求和数据安全标准(PCI DSS)。

首先,在4月10日,PCI SSC更新了其“卡片生产要求”(已发布的指南,可帮助卡片生产商保护从创建到交付的卡片生产过程)。需求本身分为两部分: 卡片生产逻辑安全要求 卡片生产的物理安全要求。逻辑要求适用于卡的个性化或卡数据的处理,而物理要求则涉及诸如卡的存储和邮寄的过程。从卡片存储浮雕到紧急出口,此更新更改或增加了对各种问题的要求;但是,尽管PCI SSC保持了标准,但重点仍然坚定地放在支付公司自身上,以根据这些PCI要求管理评估。

其次,针对对安全套接字层(SSL)加密协议漏洞的日益增长的关注,PCI DSS已将其支付卡数据安全标准更新为 版本3.1。美国国家标准技术研究所认为以前的标准使卡数据处于危险之中,并且由于其支持的旧技术而未能为数据提供足够的保护。这些标准已经成为POODLE和BEAST的浏览器攻击的受害者,PCI SSC认为升级到更加安全的传输层安全性版本是解决保护问题的唯一方法。此更新的版本立即生效,但是组织必须在2016年6月30日之前实施所需的标准。

这些更改以及已发布的内容 令牌化产品安全准则 和指导 渗透测试,进一步强调PCI SSC在金融行业中对数据保护的重视。借助PCI委员会的罚款或切断组织生产卡片的能力,金融部门的数据控制者应尝试尽快采用更新的标准。