PCI_DSS_v4.0变更系列之三——通过“定制方法”增加标准的灵活性
2022-08-11 11:24阅读:
1 通过“定制方法”(customized approach)增加了灵活性
这部分来自于PCI DSS v4.0的第八个章节(实施和验证PCI DSS的方法),是PCI DSS v4.0的一个亮点,也是区别于v3.2.1版本的一个巨大的变化。基于此,通过本篇对新出现的“定制方法”进行较详细的说明。
在v3.2.1及以前的PCI DSS版本中,均使用规定方法(defined approach)所定义的要求作为审核要求,即具体的要求点,提出明确的标准要求及审核方法(参见图1右半部分绿色字体的路径)。而对于产业因技术或业务限制无法实施的要求点,PCI DSS标准允许在特定的前提(存在已知的技术或业务限制、且确保控制的效果不低于标准要求)下,使用补偿性控制措施(Compensating controls)来作为达到合规要求的一种手段(参见图1右侧中间的文字描述)。归纳来看,v3.2.1版本中要么按照达到标准要求点的方式达到合规,要么是在存在技术或业务限制的前提下通过补偿性控制来达到合规要求。
图1:定制方法与规定方法的审核路径
在v4.0中,除了保留规定方法和补偿性控制措施外,还重磅引入了定制方法(customized approach)的合规方式。定制方法本质上是在要求所对应的控制目标不变的前提下,被审核机构针对PCI DSS要求及其审核方法进行自行定义和重新编写,可以理解为合规机构基于其技术特点和安全管理能力自行进行对应的标准要求点的编写,并由评估机构对这些自行编写的标准要求点进行验证。
如果采用定制方法,需要合规机构参照P
这部分来自于PCI DSS v4.0的第八个章节(实施和验证PCI DSS的方法),是PCI DSS v4.0的一个亮点,也是区别于v3.2.1版本的一个巨大的变化。基于此,通过本篇对新出现的“定制方法”进行较详细的说明。
在v3.2.1及以前的PCI DSS版本中,均使用规定方法(defined approach)所定义的要求作为审核要求,即具体的要求点,提出明确的标准要求及审核方法(参见图1右半部分绿色字体的路径)。而对于产业因技术或业务限制无法实施的要求点,PCI DSS标准允许在特定的前提(存在已知的技术或业务限制、且确保控制的效果不低于标准要求)下,使用补偿性控制措施(Compensating controls)来作为达到合规要求的一种手段(参见图1右侧中间的文字描述)。归纳来看,v3.2.1版本中要么按照达到标准要求点的方式达到合规,要么是在存在技术或业务限制的前提下通过补偿性控制来达到合规要求。
图1:定制方法与规定方法的审核路径
在v4.0中,除了保留规定方法和补偿性控制措施外,还重磅引入了定制方法(customized approach)的合规方式。定制方法本质上是在要求所对应的控制目标不变的前提下,被审核机构针对PCI DSS要求及其审核方法进行自行定义和重新编写,可以理解为合规机构基于其技术特点和安全管理能力自行进行对应的标准要求点的编写,并由评估机构对这些自行编写的标准要求点进行验证。
如果采用定制方法,需要合规机构参照P