科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理PCI DSS 2.0:解析PCI评估变更(上)

PCI DSS 2.0:解析PCI评估变更(上)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文介绍了PCI DSS和PA DSS 2.0版本在宏观层次上体现出的两个特征。

来源:TechTarget中国 2010年12月16日

关键字: 数据安全 安全标准 PCI DSS PA DSS

  • 评论
  • 分享微博
  • 分享邮件

  又到这个时候了。PCI DSS(支付卡行业数据安全标准)和PA DSS(付款申请数据安全标准)的2.0版本即将登台亮相。在官方“发布”PCI DSS 2.0之前,人们可以通过查看该标准委员会的“更改情况摘要”文件对此次所做的改动进行了解。(编辑注:本文以更改情况摘要中的信息为蓝本。)

  站在对 PCI(支付卡行业)进行评估的角度,在对标准所做更改的情况进行具体分析之前,在宏观层次上此次更改体现出两个特征:第一点,更改的幅度相对较小。这一点是人们所没预料到的;该领域不少的专家曾预测新的标准会采用“主要版本/次要版本”的模式来进行发布(与软件产品的发布情况类似)。2008年10月PCI DSS 1.2发布,此后许多人估计今年发布的2.0“主要版本”将会是彻底的改变,但结果却与人们预测的不符。该标准委员会把标准的成熟化作为改动相对较少的原因。因此,企业可以做出这样的预测:未来发布的标准改动将会更少。在过去的五年里,该标注的1.x版本反复出现,导致改动相当大,这使得一些企业遭受了沉重的打击,对他们而言出现上述情况也不失为一件好事。

  第二点,更改的执行时间也很合理。换句话说,在企业被要求就它们如何实施了这些标准的更改而进行陈述前,企业还有充分的反应时间。因为这些标准的更改要到2011年才生效,留给他们还有一年的时间。在进行升级评估前,企业还有充分的时间来确保自身的环境处于良好的状态中。

  但这些可以带来积极效果的进展不应该成为安全和规则遵从(compliance)管理人员偷懒的借口。尽管大部分的改动意味着控制范围的缩小,但一些较小部分反而会产生更大的冲击。因为这些小部分会涉及到企业目前的业务流程、规则遵从符合的范围,以及企业以往对控制的理解情况。所以,现在正是采取行动、查看更改、对企业的规则遵从计划进行调整的好时机。这时候采取行动将事半功倍。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章