为什么 PCI DSS 要求 4.1 与 SAQ 不匹配?

信息安全 pci-dss
2021-08-31 07:25:35

PCI DSS 标准 (v3.1) 中,4.1(i) 内容如下:

对于使用 SSL 和/或早期 TLS 的所有其他环境:查看已记录的风险缓解和迁移计划,以验证其包括:

  • 使用说明,包括正在传输的数据、使用和/或支持 SSL/早期 TLS 的系统类型和数量、环境类型;
  • 风险评估结果和风险降低控制措施到位;

  • 监控与 SSL/早期 TLS 相关的新漏洞的流程描述;

  • 为确保 SSL/早期 TLS 未在新环境中实施而实施的变更控制流程的描述;

  • 迁移项目计划概述,包括不迟于 2016 年 6 月 30 日的目标迁移完成日期。

但是,在SAQ D中,该文本在 4.1(g) 中,没有 (i)。

为什么有区别?

我检查了一下,这在 v3.2 中似乎也是一样的(对于商家 SAQ-D 也是如此)。

1个回答

从评论中提炼:

PCI DSS 标准文档包含要求语言,还包含针对 QSA 和准备 QSA 访问的人员的测试程序(第 2 列)和指南(第 3 列)。要求以 MAJOR.MINOR 格式编号,适用于要求的测试程序使用字母。测试程序本身不是要求。

SAQ 是针对自我评估者的问卷。适用于特定 PCI DSS 要求的问题也使用 MAJOR.MINOR 要求格式下的字母。

这两份文件中的字体并不打算对齐。QSA 的测试程序和指南不同于用于自我评估的问题。

如果一个人有资格进行自我评估,那么一个人可以使用需求文档中的测试程序和指南来加深对合规性期望的理解,但一个人只负责回答 SAQ 中的问题。

如果没有资格进行自我评估,则应忽略 SAQ。

其它你可能感兴趣的问题
上一篇为什么美国借记卡/信用卡交易没有短信验证? 下一篇LUKS 和 Veracrypt 的区别