要求只涵蓋到應(yīng)該已受到保護的PAN�����。
|
評估范疇
|
闡明應(yīng)該識別的持卡人數(shù)據(jù)的所有存放位置和流向��,并記載以確保持卡人數(shù)據(jù)環(huán)境的精確范疇�。
|
額外的指導性說明
|
僅當組織尚未識別所有的PAN實例和沒有正確地為CDE劃定范圍時需要變化���。
|
|
PCI DSS介紹和各種要求
|
擴展系統(tǒng)組件的定義來包含虛擬組件��。
更新的要求2.2.1規(guī)定要闡明“每個服務(wù)器的一個主要功能”和使用虛擬化的意圖�����。
|
額外的指導性說明
|
沒有變化:虛擬化是可選的����。僅當組織打算在CDE中實施虛擬化技術(shù)時需要改變。沒有需要控制的基礎(chǔ)性變化�。
|
|
PCI DSS要求1
|
提供了互聯(lián)網(wǎng)和持卡人數(shù)據(jù)環(huán)境之間安全邊界的解釋。
|
解釋性說明
|
如果公司已在互聯(lián)網(wǎng)和CDE之間設(shè)置恰當?shù)慕缦迍t不需要改變����。
|
|
PCI DSS要求3.2
|
確認發(fā)卡人有合法的業(yè)務(wù)需要來存儲敏感的認證數(shù)據(jù)(SAD)。
|
解釋性說明
|
對于貿(mào)易商/零售商沒有變化�����;允許發(fā)卡人存儲SAD而不違反PCI DSS�。
|
|
PCI DSS要求3.6
|
闡明加密密鑰變更、過期和替換密鑰的處理并增加靈活性��,使用劃分控制和雙重認證����。
|
解釋性說明
|
沒有變化�;為密鑰管理實踐中的已歸檔數(shù)據(jù)提供余地��。
|
|
PCI DSS要求6.2
|
更新要求來允許根據(jù)風險對漏洞進行排名和優(yōu)先級排序����。
|
演變的要求
|
沒有變化��;優(yōu)先級排名是可選的��。
|
|
PCI DSS要求6.5
|
融合要求6.3.1到 6.5中來消除用于內(nèi)部和面向Web應(yīng)用的安全編程部分的多余內(nèi)容��。例如CWE和CERT額外的安全編程標準�����。
|
解釋性說明
|
沒有變化����;只刪除了多余的要求。
|
|
PCI要求12.3.10
|
更新需求來為遠程訪
問中對持卡人數(shù)據(jù)(CHD)的拷貝���、移動和存儲提供業(yè)務(wù)依據(jù)�。
|
解釋性說明
|
沒有變化;在遠程訪問中拷貝��、移動和存儲持卡人數(shù)據(jù)是可選的操作����。
|
