admin

—PCI DSS版本3.2.1包含小範圍更新，旨在對已過期的SSL/早期TLS日期作出說明—

麻塞諸塞州威克非--(美國商業資訊)--PCI安全標準委員會(PCI SSC)今日發布了小幅修訂版PCI資料安全標準(PCI DSS)，該安全標準可在全球企業購買之前、期間和之後用於保護支付卡資料。PCI DSS版本3.2.1將取代版本3.2，以對已過期的有效日期和安全通訊端層(SSL)/早期傳輸層安全性 (TLS)移轉截止日期作出說明。PCI DSS v3.2.1未增加任何新的要求。PCI DSS v3.2在2018年12月31日之前仍然有效，2019年1月1日起不再適用。

PCI SSC技術長Troy Leach表示：「此次更新旨在消除v3.2中規定的PCI DSS要求有效日期以及SSL /早期TLS移轉日期方面的任何混淆。各組織停用SSL/早期TLS並升級到安全替代方案以保護其支付資料，這一點相當重要。」

PCI DSS v3.2.1中的微小變更反映了一旦有效日期和SSL/TLS移轉截止日期已過，現行要求將如何受到影響，這樣一來，各組織可在6月30日之後準確報告其執行情況如何滿足這些現行要求。具體來說，這些變更包括：

• 刪除針對適用要求的截至2018年2月1日有效日期的注釋，因為此日期已過。

 

• 更新適用要求和附錄A2，以反映在2018年6月30日之後，只有銷售時點交互作用點(POS POI)終端機及其服務提供者連接點可繼續使用SSL/早期TLS作為安全控制。

• 從附錄B的補償控制範例中刪除多因素驗證(MFA)，因為目前所有非控制台管理存取都需要MFA；新增動態密碼作為此場景的替代潛在控制。

PCI DSS v3.2.1中的更新內容不會影響支付應用資料安全標準(PA-DSS)，該安全標準仍在v3.2保留。

PCI DSS v3.2.1以及從v3.2升級到v3.2.1的變更摘要現可在PCI SSC網站上的文件庫(Document Library)中查閱。從SSL和早期TLS資訊補充、自我評價問卷(SAQ)和SAQ說明和指南移轉的更新版本隨後即將發布，用於支援PCI DSS v3.2.1。

如需詳情，請閱讀技術長Troy Leach的PCI Perspectives部落格問答：PCI DSS的現狀與展望(PCI DSS Now and Looking Ahead)。

關於PCI安全標準委員會
PCI 安全標準委員會(PCI SSC)是一個跨產業的全球性開放式論壇，致力於透過提供靈活、有效且以產業為導向的資料安全標準和程式提高支付安全性，幫助企業發現、緩解和阻止網路攻擊和漏洞。在LinkedIn上與PCI SSC保持聯絡。在Twitter @PCISSC上參與對話。訂閱PCI Perspectives部落格。 

原文版本可在businesswire.com上查閱：https://www.businesswire.com/news/home/20180517005988/en/

免責聲明：本公告之原文版本乃官方授權版本。譯文僅供方便瞭解之用，煩請參照原文，原文版本乃唯一具法律效力之版本。

聯絡方式：

PCI 安全標準委員會
Mark Meissner, +1-202-744-8557
[email protected]
Twitter：@PCISSC

Share this: