近日，支付卡行业安全标准委员会（PCI SSC: Payment Card Industry Security Standards Council）正式发布PCI数据安全标准（DSS: Payment Card Industry DataSecurity Standard）最新版本v3.2。PCIDSS v3.2版本将替换之前的v3.1版本，此次标准更新依据全球700多家参与机构提交的反馈以及支付受理方式变化引发的数据泄露情况报告等数据做出，旨在应对客户支付信息面临的日益增长的安全威胁。完整的PCI DSSv3.2版本以及更新说明可访问PCI SSC官网www.pcisecuritystandards.org/document_library查看。

新版本中关于安全要求内容的主要变更，可以进一步帮助机构确认关键数据是否在整个合规年度中安全可控且经过有效的测试，而且可作为持续安全监控程序的一部分。新版本标准还针对需要对数据进行保护的管理方、服务提供方和持卡人数据环境提出了新安全要求。此外，PCI DSS v3.2版本鼓励机构进一步关注人员、流程和政策，并将技术作为重要手段来减少全局中持卡人数据的留存痕迹。

PCI DSS v3.2版本的主要变更包括：

1、延长了由SSL和早期TLS版本迁移至TSL更新版本的期限；

2、扩展了多因素验证标准8.3版本的使用范围，包括敦促可以访问持卡人数据环境的管理员采用多因素认证机制；

3、增加了针对服务提供商和相关机构的额外安全验证步骤，该步骤融合了之前作为单独规范文件存在的《特定机构补充验证要求Designated Entities Supplemental Validation （简称DESV）》。

银行卡检测中心作为首个经PCI SSC授权认可的国内PCI DSS安全扫描提供商（ASV：Approved Scanning Vendors）和安全性评估机构（QSA: Qualified Security Assessor），长期以来持续关注PCISSC相关标准的更新动态，并针对所有涉及支付卡处理的机构（包括商户、第三方支付机构、收单机构、发卡机构、服务提供商以及所有其他存储、处理或传输持卡人数据和敏感验证数据的机构）提供全面的PCI数据安全合规评估服务。

依据《PCIDSS 3.2计划：关键日期》时间表，旧版本标准PCI DSS v3.1将于2016年10月31日停用，我中心将于2016年11月1日起按照新的3.2版本标准开展PCI DSS合规评估服务。建议所有涉及支付卡处理的机构尽早参考最新的安全标准对系统进行安全提升，以预防、发现和响应可能导致数据泄露的最新攻击威胁。在此期间，我中心也将提供技术支持和咨询、培训服务，协助各机构进行新版本标准的平缓过渡和应用。

如有相关需求可致电010-58055962/49/53/59/48或微信关注“银行卡检测中心资讯平台”留言进行咨询、洽谈。