PCI安全標準委員會發布小幅修訂版PCI資料安全標準

—PCI DSS版本3.2.1包含小範圍更新,旨在對已過期的SSL/早期TLS日期作出說明

麻塞諸塞州威克非--()--(美國商業資訊)--PCI安全標準委員會(PCI SSC)今日發布了小幅修訂版PCI資料安全標準(PCI DSS),該安全標準可在全球企業購買之前、期間和之後用於保護支付卡資料。PCI DSS版本3.2.1將取代版本3.2,以對已過期的有效日期和安全通訊端層(SSL)/早期傳輸層安全性 (TLS)移轉截止日期作出說明。PCI DSS v3.2.1未增加任何新的要求。PCI DSS v3.2在2018年12月31日之前仍然有效,2019年1月1日起不再適用。

PCI SSC技術長Troy Leach表示:「此次更新旨在消除v3.2中規定的PCI DSS要求有效日期以及SSL /早期TLS移轉日期方面的任何混淆。各組織停用SSL/早期TLS並升級到安全替代方案以保護其支付資料,這一點相當重要。」

PCI DSS v3.2.1中的微小變更反映了一旦有效日期和SSL/TLS移轉截止日期已過,現行要求將如何受到影響,這樣一來,各組織可在6月30日之後準確報告其執行情況如何滿足這些現行要求。具體來說,這些變更包括:

  • 刪除針對適用要求的截至2018年2月1日有效日期的注釋,因為此日期已過。
  • 更新適用要求和附錄A2,以反映在2018年6月30日之後,只有銷售時點交互作用點(POS POI)終端機及其服務提供者連接點可繼續使用SSL/早期TLS作為安全控制。
  • 從附錄B的補償控制範例中刪除多因素驗證(MFA),因為目前所有非控制台管理存取都需要MFA;新增動態密碼作為此場景的替代潛在控制。

PCI DSS v3.2.1中的更新內容不會影響支付應用資料安全標準(PA-DSS),該安全標準仍在v3.2保留。

PCI DSS v3.2.1以及從v3.2升級到v3.2.1的變更摘要現可在PCI SSC網站上的文件庫(Document Library)中查閱。從SSL和早期TLS資訊補充、自我評價問卷(SAQ)和SAQ說明和指南移轉的更新版本隨後即將發布,用於支援PCI DSS v3.2.1。

如需詳情,請閱讀技術長Troy Leach的PCI Perspectives部落格問答:PCI DSS的現狀與展望(PCI DSS Now and Looking Ahead)。

關於PCI安全標準委員會
PCI 安全標準委員會(PCI SSC)是一個跨產業的全球性開放式論壇,致力於透過提供靈活、有效且以產業為導向的資料安全標準和程式提高支付安全性,幫助企業發現、緩解和阻止網路攻擊和漏洞。在LinkedIn上與PCI SSC保持聯絡。在Twitter @PCISSC上參與對話。訂閱PCI Perspectives部落格

免責聲明:本公告之原文版本乃官方授權版本。譯文僅供方便瞭解之用,煩請參照原文,原文版本乃唯一具法律效力之版本。

Contacts

PCI 安全標準委員會
Mark Meissner, +1-202-744-8557
press@pcisecuritystandards.org
Twitter:@PCISSC

Contacts

PCI 安全標準委員會
Mark Meissner, +1-202-744-8557
press@pcisecuritystandards.org
Twitter:@PCISSC