为了应对对客户支付信息的日益严重的威胁,支付卡行业安全标准委员会(PCI SSC)发布了 更新 符合其数据安全标准(PCI DSS)。 3.2版通过引入以下内容来保护持卡人数据:

  • 具有对持卡人数据环境的管理访问权限的任何人员的多因素身份验证要求
  • 从安全套接字层(SSL)和早期的传输层安全性(TLS)通信协议迁移到更安全的最新TLS版本的新日期
  • 保留客户持卡人数据的服务提供商的其他职责包括:
    • 维护加密体系结构的书面说明
    • 检测并报告关键安全控制系统的故障
    • 将PCI DSS要求验证包括在变更管理流程中
    • 定期进行各种测试和审查
    • 让高层管理人员建立保护持卡人数据和PCI DSS合规性计划的责任
  • 指定实体补充验证(“ DESV” –一组有助于实体克服与付款保护有关的问题的标准)的某些要求。从确保对合规性计划进行有效监督到关键安全控制中的故障检测,对于服务提供商而言,这些要求比其他实体更为广泛。

需要多因素身份验证的更改构成了更新的最大更改之一。多因素身份验证将要求引入分层方法,以授予对包含持卡人数据的系统的访问权限,每一层都包含不同类别的证据和验证。多因素身份验证的新要求包括:知识(即密码);拥有权(例如,安全令牌);和/或用户自己的身体特征(即生物特征数据)。

尽管PCI SSC实施期于2018年2月1日到期,但组织仍应寻求尽快采取新要求,以帮助防止网络事件。尽管此更新仅在3.1版之后一年进行,但这些持续不断的,不懈的努力PCI SSC所做的工作说明了持卡人数据受到的安全威胁的严重性和变化性质。