新年伊始，萬象更新，伴隨著美酒佳肴，支付卡行業數據安全標準(PCI DSS)也迎來了新的要求。

　　支付卡行業數據安全標準3.0現在已經可以應用于各行各業，盡管其中的一些要求在七月一日前并不要求強制執行，畢竟企業需要一定的時間對標準進行調整。那么今天我們就總結一下，新標準帶來了哪些變化。

　　一、將支付重定向到第三方的在線零售商納入合規審計范圍

　　新標準引入了許多需要企業予以關注的重要新規定。比如，許多將支付重定向到第三方的在線零售商也將納入合規審計的范圍，即使他們并不接觸持卡人數據。

　　從技術上講，雖然這些零售商對持卡人數據并不實際進行傳輸、存儲和處理，但他們也會對支付卡的數據流產生影響，所以也將納入合規審計。支付卡行業數據安全標準3.0為在線零售商規定了更高的透明度要求和持卡人數據安全培訓要求，以及完全滿足這些新要求所必需的條件。

　　二、更嚴格的滲透測試要求

　　到七月一日，對于更嚴格的滲透測試方面的要求也將生效。

　　標準規定，在進行滲透測試時，執行測試的商戶或任何其他人，都必須遵循行業標準框架。商戶必須確保他們用于對網絡、應用程序、數據庫以及POS系統進行滲透測試的服務符合新的要求。標準還要求測試人獨立，這就意味著系統測試員與系統管理員不能是同一人。還有，如果商戶通過架設防火墻對處理卡數據的網絡區域進行分割以縮小支付卡行業標準遵從范圍的話，根據現在的規定，就必須在滲透測試報告中提供該區域的隔離證明，以保證通過合格安全性評估機構(QSA)對遵從范圍縮小的驗證。

　　三、更嚴格的網絡映射要求

　　與此相關的，在新標準的第一節還包含了更嚴格的網絡映射要求。

　　一月一日起，對網絡映射的要求已經更加嚴格?，F在不能只畫一張路由線路圖就完事，還需要列出數據流通過網絡時的端到端訪問權限。也就是說，只列出有多少臺路由器是不行的，還必須展示出支持業務的網絡基礎設施在處理支付卡交易時是如何工作的。

　　四、增加支付卡讀卡器物理安全要求

　　新的3.0標準還針對支付卡讀卡器的物理安全增加了一系列的新要求。

　　根據這些新要求，接受驗證的組織必須通過維護庫存清單、定期設備檢查、以及進行專門的讀卡器安全培訓等措施，“保護通過卡片直接物理交互捕獲支付卡數據的設備免遭篡改或替換”。這項需求對于地理分散經營模式的大型商戶具有特別大的挑戰性。

　　最新的支付卡行業數據安全標準對于支付卡被盜問題雖然未能提出殺手锏式的解決方案，但也突出了一些最容易被網絡罪犯所利用問題。商戶朋友們應該以新標準為基礎，構建一套健壯、多層的包括確定價值數據生存位置風險評估以及諸如漏洞掃描和滲透測試之類的保護數據和服務技術在內的安全策略，不斷識別和糾正安全薄弱點，并且還要有足夠的人力資源和技能確保其安全控件的安裝、更新和正常工作。

　　通過采用這種安全第一的策略，企業將會對其必須面對的風險水平進行全面的了解，并能夠在全面遵循支付卡行業數據安全標準3.0的框架下實現這一通用商業手段。