PDF《PCI DSS V3.2 再回首 ——谈谈在 2018 年强制执行的要求》

4 加密持卡人数据在开放式公共网络中的传输 维护漏洞管理计划 要求

5 为所有系统提供恶意软件防护并定期更新杀毒软件或程序 要求

6 开发并维护安全的系统和应用程序 实施强效访问控制措施 要求

7 按业务知情需要限制对持卡人数据的访问 要求

8 识别并验证对系统组件的访问 要求

9 限制对持卡人数据的物理访问 定期监控和测试网络 要求

10 跟踪并监控对网络资源和持卡人数据的所有访问 要求

11 定期测试安全系统和流程 维护信息安全策略 要求

12 维护针对所有工作人员的信息安全政策 附录 A: PCI DSS 附加要求 附录 A1 针对共享托管服务提供商的 PCI DSS 附加要求 附录 A2 针对使用 SSL/早期 TLS 的实体的 PCI DSS 附加要求 附录 A3 指定实体补充认证(DESV) atsec: PCI DSS V3.2 再回首 Version: 1.1 / 2018-2-12 ?2018 atsec information security atsec / released PCI DSS V3.2 再回首-v1.1-gh.doc Classification: atsec confidential

5 /

10 3 第二部分:2018 年1月31 日起强制实施的要求 PCI DSS 标准自

2018 年1月31 日起强制实施的要求,均是 PCI DSS V3.2 对比 V3.1 单独新增的具体 要求(更多 PCI DSS 标准变更分析请参见: http://www.atsec.cn/downloads/pdf/PCI_DSS_standard_V3.2_change_analysis.pdf),而非原有要求的修 订,这些要求均被注释: 本要求在

2018 年1月31 日前属于最优方法,此后将成为一项要求. 对于这些新要求,开展标准合规工作的机构可能面临着理解和实施方面的挑战.为此,atsec 逐一解读 如下: 3.1 PCI DSS 要求 3.5.1 3.5.1 仅针对服务提供商的额外要求:维护包含以下内容的加密架构文档描述: ? 用于保护持卡人数据的所有算法、协议和密钥的详情,包括密钥强度和到期日 ? 每个密钥主要用途的说明 ? 用于进行密钥管理的任何 HSM 和其他 SCD 的清单 如果说我们把 PCI DSS 的要求从实施方法层面分为管理类要求和技术类要求的话,那么 3.5.1 这个新增 要求无疑属于管理类要求.因为本要求的主要目的是维护一份 加密架构文档 ,文档的内容需包括上述要 求中列举的三点. 要求 3.5.1 是在 要求

3 保护存储的持卡人数据 下的具体要求,前提是机构选择了 具有相关密钥管 理流程和程序的强效加密法 对持卡人数据进行了保护,那么无论是数据加密密钥(DEK: Data Encrypted Key),还是可能存在的密钥加密密钥(KEK:Key Encrypted Key),或是涉及的加密机等设备,都需要在 相关文档中加以说明.基于 atsec 以往实施经验,维护相应的 加密架构文档 需要关注如下三个关键点: 1,建立文档本身的管理制度,或者符合企业现有管理体系的文档管理制度.比如需要清楚定义文档编 写责任人、评审责任人、批准责任人,以及文档如何正式发布和如何定期评审等. 2,文档的范围.应该与 PCI DSS 合规性范围一致,间接保护持卡人数据的情况,特别是 KEK 的情 况,也应纳入管理的范围. 3,该要求具体实施时,需要特别关注密钥到期之后的处理流程,这也是目前很多机构在实际运行中最 薄弱的一个环节. 最后,请特别注意该要求仅针对服务提供商,即商户可不履行此要求. 3.2 PCI DSS 要求 6.4.6 6.4.6 完成重要变更后,须对所有新的或变更的系统和网络实施所有相关的 PCI DSS 要求,并在适当情况下 更新文档记录. 要求 6.4.6 也是一项管理类要求,是在 要求 6.4 系统组件的所有变更均须遵守变更控制流程和程 序. 下的一个具体要求,因此也是归属于变更管理的一项要求. 从标准合规一致性的角度出发,一个变更前符合 PCI DSS 要求的系统和网络,理论上变更后也应符合 PCI DSS 要求.但在实际运行过程中仍存在变更后的系统或网络因管理疏忽而没有符合 PCI DSS 标准的情 况.因此,在PCI DSS V3.2 中,要求 6.4.6 明确地提出在变更管理中需加入标准合规一致性检查的要求, 以确保变更前后,特别是重要变更之后,能保证标准合规的一致性. 虽然标准 6.4.6 是从结果的角度对变更流程的标准合规一致性做出了要求,即 完成重要变更后 ,要 确保变更后合规.但从 ITSM(IT 服务管理)的视角看,变更管理的重点更在于变更之前的评估,所以在标 准实际实施的过程中,往往会把一致性检查的工作前移到变更评估的环节中,要求变更方案制订者清楚的说 明变更过程中要如何确保标准合规的一致性,也要求变更管理委员会(CCB:Change Control Borad)在对 变更方案进行评估的过程中要确认标准合规一致性的可行性和有效性.同时,建议在变更方案中还要说明变 更之后需要更新哪些文档的记录,例如:需更新网络拓扑图、资产清单等. 以上是在标准实施落地方面的一些建议.如果该要求体现在流程和制度上,则一般建议相应的机构修改 自身管理体系中已有的 变更管理流程 ,例如变更方案制定、变更评审、变更后回顾等加入标准合规一致 性检查的要求.如果能在相应的表单模板中增加标准合规一致性的检查项,也会更有助于该要求的落地实 施. atsec: PCI DSS V3.2 再回首 Version: 1.1 / 2018-2-12 ?2018 atsec information security atsec / released PCI DSS V3.2 再回首-v1.1-gh.doc Classification: atsec confidential