PCI SSC（全名PCI Card (PCI) Data ，第三方支付行业（ Card PCI DSS）数据安全标准）近日发布了PCI DSS 3.2，这是企业和供应商在处理客户信用卡和借记卡交易时必须遵循的技术安全要求的最新版本。

最新的升级计划是在3.1版本（2015年4月15日发布）发布一年之后，大幅提升了安全成熟度，包括敦促系统管理员采用多因素认证机制、要求使用更多的渗透和检查手段实现安全控制灵活性、延长从SSL和早期TLS版本迁移到较新TLS版本的期限。

保护客户信用卡和借记卡数据的新标准表明，攻击者正在使用被盗或通过社交工程获取的登录凭据轻松访问公司系统，以进一步窃取客户数据。这些被盗凭据允许攻击者冒充持卡人数据环境 (CDE) 中的合法用户，而无需担心被发现。

持卡人数据环境 (CDE) 代表用于处理、存储和/或传输持卡人数据的计算机系统或 IT 系统网络。它还包括直接连接到或用于支持此网络的任何组件，例如防火墙、交换机、接入点、安全设备、销售点系统、Web 服务器、应用服务器、所有应用程序和虚拟组件等。

扩大多因素身份验证的使用

PCI DSS 的先前版本要求使用多因素身份验证来保护对 CDE 的远程访问，以防止基于访问的数据泄露攻击。

新的多因素身份验证标准 8.3 版进行了进一步扩展，包括要求任何系统管理员都必须在本地访问 CDE 并使用多因素身份验证，无论是第三方还是内部多因素机制。系统管理员可以在网络内更改系统和其他凭证，有效防止攻击者肆意破坏甚至控制企业系统。

新版本建议你为企业内的每个用户添加多因素身份验证。攻击者经常以非特权用户为目标，包括根据内部环境跟踪和搜索可利用的客户数据。这意味着你需要为营销、人力资源、销售和其他团队提供与系统管理员相同的保护。

PCI SSC 首席技术官 Troy 表示，单因素身份验证（如用户名和密码）已不足以满足远程访问 CDE 的需求。此外，描述已从双因素身份验证更改为多因素身份验证，旨在说明可以在该过程中引入两个以上的身份验证因素。

如何准备新的 8.3 子要求标准

那么企业该如何应对这些变化呢？根据PCI SSC官方博客介绍，企业需要做好以下准备，迎接PCI DSS 3.2：

审查现有的CDE验证管理方法

审查现有的管理员角色和访问机制

评估新要求对验证提出的变化的影响

检测并报告安全控制问题

新的 PCI DSS 要求 10.8 和子要求 10.8.1 要求服务提供商检测并报告其关键安全控制系统中的问题（将于 2018 年 2 月 1 日全面生效）。这些控制系统包括防火墙、IDS/IPS（入侵检测/保护系统）、防病毒、物理和逻辑访问控制、审计日志机制和详细控制。

PCI DSS 3.2规定：这是为了确保相关系统能够向企业预警关系控制机制的问题，从而避免未被发现的入侵活动所造成的系统入侵、数据窃取等后果。

渗透测试制衡

根据新的子要求 11.3.4.1，服务提供商现在需要至少每六个月对详细控制进行一次渗透测试，以确保弹性。PCI SSC 还增加了测试程序 11.3.4，以确保渗透测试由合格的内部或外部第三方执行。

加强安全事务中的人为因素

其他要求旨在确保涵盖安全的管理方面——12.4 要求公司高管确保安全政策和程序明确定义每个员工的具体信息安全责任。

同时，子要求12.4.1还要求高级管理团队负责保护持卡人数据并遵守PCI DSS合规计划。

要求 12.6 要求建立正式的安全意识培训计划，旨在确保企业中的每个人都充分了解持卡人数据安全政策和程序。