PCI DSS v4.0变更系列之三——通过“定制方法”增加标准的灵活性

已于 2022-12-30 11:50:49 修改
阅读量336 收藏
点赞数
分类专栏: PCI DSS相关 文章标签: 安全 经验分享 网络安全 系统安全 Powered by 金山文档
于 2022-12-30 11:50:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54957825/article/details/128493638
版权

1通过“定制方法”(customized approach)增加了灵活性

这部分来自于PCI DSS v4.0的第八个章节(实施和验证PCI DSS的方法),是PCI DSS v4.0的一个亮点,也是区别于v3.2.1版本的一个巨大的变化。基于此,通过本篇对新出现的“定制方法”进行较详细的说明。

在v3.2.1及以前的PCI DSS版本中,均使用规定方法(defined approach)所定义的要求作为审核要求,即具体的要求点,提出明确的标准要求及审核方法(参见图1右半部分绿色字体的路径)。而对于产业因技术或业务限制无法实施的要求点,PCI DSS标准允许在特定的前提(存在已知的技术或业务限制、且确保控制的效果不低于标准要求)下,使用补偿性控制措施(Compensating controls)来作为达到合规要求的一种手段(参见图1右侧中间的文字描述)。归纳来看,v3.2.1版本中要么按照达到标准要求点的方式达到合规,要么是在存在技术或业务限制的前提下通过补偿性控制来达到合规要求。

图1:定制方法与规定方法的审核路径

在v4.0中,除了保留规定方法和补偿性控制措施外,还重磅引入了定制方法(customizedapproach)的合规方式。定制方法本质上是在要求所对应的控制目标不变的前提下,被审核机构针对PCI DSS要求及其审核方法进行自行定义和重新编写,可以理解为合规机构基于其技术特点和安全管理能力自行进行对应的标准要求点的编写,并由评估机构对这些自行编写的标准要求点进行验证。

如果采用定制方法,需要合规机构参照PCIDSS附录E的“E1控制矩阵模板”记录所制定的控制措施,并参照“E2风险目标分析模板”进行控制措施的风险分析。审核机构在满足独立性的前提下,由独立的评估师基于措施及风险分析的情况制定测试流程(包括但不限于观察流程、检查配置、人员访谈、策略与流程检查、检查文档等),并完成相应的验证工作。最后,由评估师在ROC合规报告中呈现定制方法的实现、验证情况以及评估结果。

因为定制方法支持安全技术等方面的技术创新和实践,使得合规机构有更多的方式来达到PCI DSS要求所对应的目标。定制方法通常适用于信息安全风险管理能力强、技术/安全架构先进的机构。为便于大家理解,我们对规定方法和定制方法的优缺点进行了简单归纳。展示如下表所示:

规定方法(defined approach)

定制方法(customized approach)

所适用的机构

采用当前主流技术的合规机构。

所采用的技术架构与主流技术差异大,风险管理能力强的机构。

PCI DSS v3.2.1要求的审核方法的差异

审核方法与原PCI DSS v3.2.1相同。

新的达到合规和审核的方式,增加了灵活性,以适用于标准所定义的要求与合规机构的实现机制存在差异的情况。

对合规和审核工作量的影响

无大的影响,工作量与原PCI DSS v3.2.1基本一致。

有工作量的影响。主要体现在:

1)合规机构需要制定额外的控制措施,并对剩余的安全风险进行记录和分析。

2)审核机构开发相应的审核要求,并完成审核验证。

是否允许补偿控制措施(CCW)

规定方法中允许存在业务或技术限制的前提下制定补偿控制措施。

定制方法中不再允许在此基础上开发补偿控制措施。

表1:规定方法与定制方法的对比

v4.0版本在满足标准要求方面比v3.2.1更具灵活性。具体体现在:1)站在所有的合规要求点的角度,某些要求点可以选择使用规定方法达到合规要求,而另外一些要求点可以使用定制方法达到合规要求;2)站在某个具体要求点的角度,合规的机构可以二选一,即可以通过规定方法对应的要求来达到合规,也可以使用定制方法来达到合规要求;3)站在同一个要求点的角度,也允许存在同时结合使用两种方法的可能性。比如,该要求点中所覆盖的范围内的一部分被审核的对象用规定方法来达到合规要求,范围内的另一部分被审核对象使用定制方法来达到合规。

在v4.0标准文档“PCI 数据安全标准要求与测试程序”中对每一个要求点的具体描述中,既给出了规定方法的要求,同时也给出了定制方法的对应目标(详见“PCI 数据安全标准要求与测试程序”每个要求点所对应的“定制方法目标”)。值得注意,在标准原文中有些要求点是没有定制方法目标的情况下(比如要求3.3.1-3.3.2),说明这个要求点是不允许使用定制方法达到合规的。

在更适合使用定制方法来达到合规要求的情况下,atsec作为审核机构,会与合规机构一起基于机构自身的技术特点及风险管理能力,定制恰当的技术要求与审核方法,评估技术要求与审核方法的充分性并进行审核,以验证合规机构的合规状态。

对于期望通过定制方法进行审核的机构,也欢迎在第一时间与atsec咨询团队进行沟通,以确保制定合理的控制措施、进行充分的风险分析。atsec评估师也会在满足独立性要求的前提下,尽早展开定制方法有效性的分析,制定合理的审核方法,并最终完成定制方法及其措施的验证工作。

atsec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
Changes Coming to NIAP Entropy Assessment Reports in 2025
06-17 479
Recently, NIAP announced that Entropy Assessment Reports (EARs) must include a NIST Entropy Source Validation (ESV) certificate starting at the turn of the year on January 1st, 2025.
博客
支付卡产业最新发布PCI DSS v4.0.1
06-13 467
自2022年3月PCI DSS v4.0发布以来,受到全球支付产业高度关注,为了解决来自所有产业相关者的反馈和问题,PCI安全标准委员会(PCI SSC)发布了该标准的修订版PCI DSS v4.0.1。其中包括对格式和印刷错误的更正,也澄清了一些要求和指南的重点和意图。本修订版中没有附加或删除的要求内容。
博客
BSI NESAS CCS-GI Scheme Updates
06-11 848
We'd like to inform our customers and partners that the German Federal Office for Information Security (BSI) recently published new documents approving the use of additional Security Assurance Specifications (SCAS).
博客
EUCC and Cybersecurity Certification in Europe
04-24 558
​The European Union Agency for Cybersecurity (ENISA) hosted acybersecurity certification conferenceon April 18, 2024, in Brussels, Belgium. The conference very much focused on the implementation of the EUCC - European Cybersecurity Certification Scheme.
博客
atsec Adds FIDO Evaluation Qualification
04-11 490
atsec information security (branded as “atsec”) has been qualified by the FIDO Alliance as one of the FIDO Accredited Security Laboratories to evaluate the authenticator products.
博客
atsec AB first IEEE 2621 Accredited Medical Device Testing Facility
04-08 517
atsec AB Stockholm, Sweden is thrilled to announce: We are the first IEEE Authorized Testing Facility!
博客
BREAKING NEWS: c@tsec information security Unveils Revolutionary Quantum Computer
04-01 852
April 1, 2024 – Austin, TX: In a groundbreaking announcement today, c@tsec information security, a subsidiary of atsec information security, and the leader in quantum computing technology, proudly unveils its latest innovation: the Quantum PurrProcessor™.
博客
XDRGB - Random Bit Generator using any XOF
03-28 365
Resulting from a joint collaboration between John Kelsey (NIST), Stefan Lucks (Bauhaus-Universität Weimar, Germany) and Stephan Müller (atsec information security), a new deterministic random bit generator (DRBG) is published.
博客
PCI产业概述和产业发展动态分享
03-25 645
我们是从商户购买商品或服务的“支付卡的持卡人”,商户向收单机构发送支付交易数据,收单机构通过卡组织的支付网络向发卡机构发送支付业务数据。发卡机构是实际向持卡人发卡的机构,持卡人执行支付交易时,发卡机构都会向商户的收单银行提供交易授权或拒绝。收单机构和发卡机构需要交换支付信息来完成交易的过程称为“清算”(Clearing)。商户银行(收单机构)为持卡人的购买向商户付款以及持卡人的银行(发卡机构)向持卡人开具账单的过程称为“结算”(Settlement)。
博客
PCI DSS针对恶意脚本防范的新要求及其方案探讨
03-19 1535
2022年3月,支付卡行业安全标准委员会(PCI SSC)公布了PCI DSS v4.0版本。新的PCI DSS版本中引入了有关恶意脚本防范的新要求,特别是条款6.4.3和条款11.6.1。本文旨在探讨条款6.4.3和11.6.1的具体技术要求、对信息安全的影响以及如何实施其安全方案以满足这两项新要求。
博客
Happy Pi Day
03-14 402
To All our Math lover colleagues, Happy Pi Day.
博客
Crypto Module Bootcamp 2024
03-11 847
On Tuesday, February 27, 2024, atsec information security hosted a free day-long hybrid event on the Concordia University campus in Austin, TX.
博客
PCI PIN标准相关截止时间的解读以及近期重要信息分享
03-05 1825
众所周知,PIN(个人识别码)数据用于在终端发出的授权请求中对持卡人进行身份验证。PIN仅由十进制数字组成。PIN码也经常被大家俗称为信用卡的密码。因此,PIN码属于机密性最高的支付认证数据。PCI标委会针对PIN数据保护专门出台了用于保护PIN数据以及相关密钥数据的安全标准 “PCI PIN安全要求和测试程序。本文重点对PCI PIN标准提及的一些安全要求点的截止时间进行了解读,并介绍了近两年来产业内关于PCI PIN标准的一些重要信息。
博客
来自atsec的节日祝福!
12-21 446
全体atsec团队祝福我们的同事、客户、合作伙伴以及供应商圣诞快乐,新年快乐。
博客
A FIPS 140-3 compliant hybrid KEM algorithm
12-06 1557
In addition to the sole use of Kyber KEM, a hybrid mechanism using X25519 can be devised that acts as a drop-in replacement for Kyber KEM.
博客
PQC: Kyber and Dilithium - State of the (Draft) Standards
11-21 167
On November 15 2023 NIST announced that the three algorithms will be available for testing at the ACVP Demo service.
博客
atsec at the PCI Community Meeting 2023
11-17 118
atsec participated in the PCI (Payment Card Industry) Security Standards Council 2023 Asia-Pacific Community Meeting held in Kuala Lumpur, Malaysia, on 15 and 16 November and hosted a booth.
博客
atsec at the International Common Criteria Conference 2023
11-01 414
As in previous years, atsec is attending the International Common Criteria Conference, this time in Washington DC from October 31st to November 2nd 2023.
博客
Cybersecurity Requirements for Medical Devices
10-16 150
On September 26, 2023, The Food and Drug Administration (FDA) released their finalized Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions guidance document.
博客
PCI 3DS 技术常见问题解答(FAQ)简介
10-08 230
备选的HSM管理要求从如何加强认证操作人员身份(采用多因素认证方式)、采用安全通道、双人操作和知识分离方式、经过安全认证的安全加密设备(SCD:Secure Cryptographic Device)对密钥进行操作等方面入手确保实现对HSM的安全管理,做到了在不降低安全要求级别的前提下,极大的减少对3DS实体对HSM的操作限制,有效的提供了3DS实体的操作效率。对于PCI 3DS评估,机构除了需要符合PCI 3DS核心安全标准的要求,还需要考虑PCI 3DS 技术FAQ“

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值