新的PCI DSS增加了关于网络安全控制的更广泛语言。先前版本的标准中,曾特别提到通过防火墙配置来保护持卡人数据环境(CDE)。此次的新标准对这一点做了扩展。它创造了更大的空间,这可能会给一些银行带来重大转变。
网络安全已经成为几乎每个行业的主要关注点。随着不断有关于网络入侵数量不断增加的新闻出现,政府通过网络安全和隐私立法来发挥更积极的作用是可以理解的。有些行业并不是很多人的首选。例如,很少有人知道构成关键基础设施16个部门的所有行业。然而,大多数人肯定知道,金融部门是经济的重要功能的一部分。
金融部门最明显的组成部分是银行业。每个人在某个时候都不得不使用银行,因此可以理解安全性是银行业的首要关注点。过去银行劫匪戴着面具偷钱的日子已经被遍布全球的互联网所取代。如今,金钱已不是银行窃贼的唯一目标,客户信息也同样有价值。
由于大多数银行也使用信用卡信息,因此它们必须遵守支付卡行业数据安全标准(PCI DSS)。更新的PCI DSS 4.0版本的发布为账户持有人保护提供了安全改进,但它也带来了一些独特的挑战。
更广泛的语言,更广泛的范围
新的PCI DSS从增加有关网络安全控制的更广泛的语言开始。该标准的以前版本特别提到了防火墙配置,以保护持卡人数据环境(CDE)。新《标准》对此进行了扩展,是有道理的。然而,它创造了一个更大的范围,这可能会为一些银行带来重大转变。
定制方法需要更强有力的证据
关于更宽泛的语言的另一个看法是,它允许对某些要求采取定制的方法。这可以被看作是给予银行更多的自由,以确定实现遵守特定要求的最佳方法,但这也可能在审计过程中产生问题。合格的安全评估员(QSA)可能会对定制方法提出质疑。这意味着选择使用定制方法的银行必须有非常强有力的证据来支持这种偏离标准的做法。总的来说,拥有这个更通用的标准是好的,因为它为银行提供了以更清晰的方式发展其业务的灵活性。他们不再被标准所限制,去做不一定更好的事情,但这意味着它比以往任何时候都更重要,他们实际上有负责的人,他们理解该范围,他们可以为其业务定义该范围,并且他们可以展示他们如何跟上定制,以便随着业务需求的变化和系统的变化,他们仍然可以展示他们如何在合规性和安全性方面做正确的事情。
暗示即将出台更强的标准
PCI DSS 4.0显示出向零信任体系结构发展的迹象。人们可以很容易地预见到它在未来的版本中更清楚地朝着这个方向发展。Zero Trust的主要概念是必须严格控制用户访问。所有这些技术约束都是为了提供增强的安全性,而这正是Zero Trust的主旨。关于Zero Trust的参考来源有很多,包括NIST 800—207、国防战略部,甚至还有中钢协发布的文件草案。很多公司开始非常重视这些,这不仅仅是因为他们想和美国的联邦政府做生意。这也是因为这是一个合法的安全倡议。它正迅速成为一种受青睐的安全体系结构。
年复一年,尽管在安全方面的支出越来越多,但仍有更多的违规事件发生。人们一定想知道一个组织怎么可能继续如此勤奋地专注于网络安全,但仍然没有得到高质量的结果。正如我们在过去十年中所看到的,各个政府和非政府组织正在提供更多的指导。法规正在制定,以强制的问题,以及。PCI安全标准委员会已经发展了其文档,以满足当前的环境,虽然它提供了更多的灵活性,但我们将不得不观察那些选择定制方法的组织在评估合规性时如何管理某些要求。