[Chinese]PCI-SSC发表最新版本PCI-DSS v1.2
在我们国庆节期间,2008年10月1日,PCI安全标准委员会PCI-SSC在其官方网站发布了最新数据安全标准PCI-DSS版本v1.2. PCI-DSS的官方网页目前可以下载到最新的1.2版本的PDF和DOC文件。目前官方网站只有英文版可以下载,联系组织者Shawn说,简体中文版在翻译中,应该很快可以发布,和大家见面。
另外同时发布还有1.2版本相对于1.1版本的更改。按照官方网站的消息,v1.1版本还将继续有效至今年年底,也就是2008年12月31日。
总体来说,新版本变化不是很大。下面是12个要求的主要变化总结,希望对大家有所帮助。
要求1:Install and maintain a firewall configuration to protect cardholder data
主要变化是对于防火墙和路由器的内审周期从每个季度调整为至少每六个月,以方便企业组织定制。
要求2:Do not use vendor-supplied defaults for system passwords and other security parameters
主要变化是删除了关于“禁止SSID广播”的描述。将其留给企业组织自己决定。事实上不少企业组织使用广播SSID来提供Guest VLAN等服务。
要求3:Protect stored cardholder data
主要变化是移除了关于SHA-1,Triple-DES和AES的描述,而是只强调强加密,具体的算法可以参照NIST等其他标准。另外,移除了关于使用”Active Directory”的描述,而是只强调使用本地用户帐号数据库。
要求4:Encrypt transmission of cardholder data across open, public networks
主要变化是移除了关于WEP和WPA的描述,而是只强调持卡人数据在无线网络上传输时必须进行安全加密,并且在认证和传输过程中使用强加密。并且,在2009年3月31日以后,新系统不再允许使用WEP,现有的WEP系统必须在2010年6月30日之前退出。
要求5:Use and regularly update anti-virus software or programs
在关于Unix系统的反病毒要求的描述上有稍许变化,给予用户判断是否适用反病毒要求。
要求6:Develop and maintain secure systems and applications
版本1.2明确要求生产系统的安全补丁必须在30天之内安装完毕。版本1.2在6.5节中直接采用了OWASP的TOP10列表,以后该节要求将会与OWASP保持同步更新。这里展示了PCI-DSS与OWASP的紧密合作关系。另外,新版本明确要求对于Web应用必须至少每年和每次变更之后进行安全评估和扫描。
要求7:Restrict access to cardholder data by business need to know
主要是一些格式和措辞的改变,例如从Computing resources and cardholder information变为System components and cardholder data.
要求8:Assign a unique ID to each person with computer access
变化不大,澄清了关于口令的存储和传输的测试规程要求
要求9:Restrict physical access to cardholder data
新版本强调了关于视频监控的要求,明确要求所有存储、处理和传输持卡人数据和系统的数据中心、服务器机房以及所有区域都必须监视。要求也包括了配线间以及其他可能的数据系统区域。新版本明确要求对于离线远程数据存放地点至少每年探访一次。
要求10:Track and monitor all access to network resources and cardholder data
在版本1.1中要求审计日志至少保持在线三个月。新版本中更改为:保持审计日志至少1年,至少三个月的可以立即分析。
要求11:Regularly test security systems and processes
新版本中推荐使用无线IDS/IPS,至少每季度分析评估一次无线网络。新版本要求进行内部和外部的渗透测试。
要求12:Maintain a policy that addresses information security for employees and contractors
新版本中要求员工知晓安全策略,明晰自己在信息安全方面的职责,并签署认可自己已经阅读并接受相关的安全要求。这个活动要求每年进行。新版本中还明确要求建立监视服务提供商服务PCI-DSS达标的程序,这意味着不仅仅只是在合同中表明PCI-DSS达标,还要推动服务提供商持续地评估证明符合状态。
Speaking of China:
The people of China would despise George W. Bush.
Bush is a raging racist.
Bush committed hate crimes of epic proportions and with the stench of terrorism (indicated in my blog).
And I do solemnly swear by Almighty God that Bush committed other hate crimes of epic proportions and with the stench of terrorism which I am not at liberty to mention.
Many people know what Bush did.
And many people will know what Bush did—even to the end of the world.
Bush was absolute evil.
Bush is now like a fugitive from justice.
Bush is a psychological prisoner.
In any case, Bush will go down in history in infamy.
Respectfully Submitted by Andrew Yu-Jen Wang, J.D. Candidate
B.S., Summa Cum Laude, 1996
Messiah College, Grantham, PA
Lower Merion High School, Ardmore, PA, 1993
(I can type 90 words per minute. In only 7 days, posts basically like this post of mine have come into existence—all over the Internet (hundreds of copies). One can go to Google right now, type “George W. Bush committed hate crimes of epic proportions and with the stench of terrorism,” hit “Enter,” and find more than 550 copies indicating the content of this post. All in all, there are probably more than 2,000 copies on the Internet indicating the content of this post—it has, in a way, become headline news. One cannot be too dedicated when it comes to anti-Bush activities. As I looked back at my good computer work, I thought how fun and easy it was to do it.)
“GEORGE W. BUSH IS THE WORST PRESIDENT IN U.S. HISTORY” BLOG OF ANDREW YU-JEN WANG
_________________
I am not sure where I had read it before, but anyway, it goes kind of like this: “If only it were possible to ban invention that bottled up memories so they never got stale and faded.” Oh wait—off the top of my head—I think it came from my Lower Merion High School yearbook.
I read through the qualified PCI scanning vendor list. Unfortunately, I didn’t find one vendor from China. The link is: https://www.pcisecuritystandards.org/pdfs/asv_report.html
anyway, many thanks for your reply:)
I am not an expert on this, even I am preparing the compliance for this. It means a lot of jobs and money. PCI-DSS has very clear and specific technical requirements. This is very unique compared against ISO27001, CoBit, SOX/COSO and etc.
BTW, I am afraid I don’t time to prepare and deliver the training. You are welcome to send me emails on this. — Richard.
Dear Richard, i was interested in your above topic about PCI SSC Standard. are you a expert of this field?
we are looking for a facilitator with Chinese language to conduct relevant training. Do you interest it? if yes, pls contact me at 13922264698 anytime for further details ASAP. thanks!
The below is a very concise summary from one friend:
1 Requirement 1 was changed to include all routers as well as just firewalls
2 Firewall rules are now required to be reviewed every six months instead of quarterly
3 Removed the requirement to disable broadcasting SSID
4 For new wireless installation after March 31, 2009, they may not use WEP
5 For current wireless implementations, after June 30, 2010, they may no longer use WEP
支付卡行业安全标准委员会发布1.2版支付卡行业数据安全标准
–对标准的修订包括解释和对简易执行的其他细微改动–
http://forum.10jqka.com.cn/html/10,5992/2300,1.html
商业编辑
美国商业资讯2008年10月1日马萨诸塞州威克费尔德消息——
提供支付卡行业数据安全标准(PCI DSS)、PCI PIN码输入设备(PED)安全要求和支付程序数据安全标准(PA-DSS)管理的全球性、开放式行业标准机构支付卡行业安全标准委员会(PCI SSC)今日宣布了PCI DSS 1.2版的全面发布时间。最新版本积累了两年间来自行业利益相关方的反馈和建议,旨在解释和简易执行最重要的标准以保证持卡人帐户安全。1.2版将即时生效,而该标准的1.1版将于2008年12月31日起取消。有关更新后的标准和支持文件可访问委员会网站 https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml 。
委员会提前宣布了1.1版和1.2版的变更摘要,以确保对标准的未来最新变更的认识。1.2版包括对提高灵活性的要求的解释和说明,从而满足目前的安全挑战并确保组织充分遵循标准。尽管1.2版将不介绍自委员会成立以来的现有12项要求范围的新核心要求,该更新仍对某些做法作了更改,例如到 2010年6月取消实施有线等效加密(WEP)无线安全。
数据安全咨询公司SecurityCurve合伙人兼分析师Diana Kelley说:“在商家和服务提供商竭力应对支付交易系统的最新安全威胁时,PCI DSS的最新版本对他们来说都是受欢迎的消息。解释和语言修订应对简易实施问题大有帮助,并有助于降低合规成本。”
自从委员会于2006年9月成立及PCI SSC 1.1版发布以来,其参与组织和顾问委员会一直不断为标准提供反馈,全球行业也纷纷关注修订。此前,委员会制定了生命周期流程,它将确保PCI DSS标准按两年的周期进行修订和更新。参与组织有机会获得所有即将对委员会的标准进行的修订的草案初稿,并在此过程中提供大量反馈。PCI DSS 1.2版是最近在佛罗里达州奥兰多落下帷幕的委员会年会上的主要讨论话题,500多名与会者聚集于此开始进一步增强标准。
支付卡行业安全标准委员会总经理Bob Russo说:“得知在全球行业反馈中包括PCI DSS 1.2版,我们感到非常满意。这确保我们能继续为商家和服务提供商提供一种渠道,保护易察觉且可获得的持卡人帐户数据。”
更多信息:
有关支付卡行业安全标准委员会及成为其参与组织的更多详情,请访问pcisecuritystandards.org ,或通过电子邮件participation@pcisecuritystandards.org联系支付卡行业安全标准委员会。
关于支付卡行业安全标准委员会
支付卡行业安全标准委员会的使命是,通过推动支付卡行业安全标准以及其他能够提高支付数据安全性的标准的教育和认知,提高支付账户的安全性。
支付卡行业安全标准委员会由美国运通、美国发现金融服务公司(Discover Financial Services)、JCB International、万事达卡全球组织、Visa卡全球组织这几大支付卡品牌共同组建,旨在提供一个透明的论坛,让所有的权益人都能通过这个论坛为PCI数据安全标准、个人识别号码输入设备安全要求和支付应用数据安全标准的持续发展、改进和推广做出贡献。欢迎商户、银行、数据处理机构以及其他提供商加入委员会,成为会员机构。
免责声明:本公告之原文版本乃官方授权版本。译文仅供方便了解之用,烦请参照原文,原文版本乃唯一具法律效力之版本。