PCI DSS认证难在何处？

　　众所周知去年四月份支付卡行业安全标准委员会(pci ssc: payment card industry security standards council)正式发布pci数据安全标准(pci dss: payment card industry datasecurity standard)Zui新版本v3.2。pci dss v3.2版本将替换之前的v3.1版本，此次标准更新依据全球700多家参与机构提交的反馈以及支付受理方式变化引发的数据泄露情况报告等数据做出，旨在应对客户支付信息面临的日益增长的安全威胁。

　　支付卡行业数据安全标准（pci dss）是目前全球Zui严格且级别Zui高的金融数据安全标准，已获得此认证的公司大多为银行或第三方支付公司。中国也有其他行业的一些公司咨询过pci dss认证，但均因难度太大没有继续推进Zui后不了了之。其实，这些难度主要来自于渗透测试和漏洞扫描两个方面。

　　支付卡行业的数据安全标准（pci）第11.3条要求企业每年对内网和外网实施渗透测试评估。而且，这些测试必须每年至少进行一次，而且在持卡人数据环境作出任何重大变更之后必须重复测试。在渗透测试中每一个主机和所有的相关服务, 都会被仔细的逐个探测,以识别潜在的漏洞。作为一条准则, 所有的潜在的漏洞, 都必须人工手动进行审查、研究、并进行漏洞利用。相反, 非人工手动方式可能会损害目标系统上的数据,或对目标造成拒绝服务攻击。在测试中发现任何可利用的漏洞，企业必须修复问题，然后重复测试。渗透测试周期要到漏洞被修复才完成，而且还需要提供系统已修复漏洞的证明书。这其中运用到三种测试手段：基于黑盒内部渗透测试、针对授权用户的内部渗透测试、优先授权内部测试。一系列高标准、严要求的测试手段，只有极少数企业才能顺利通过。

　　另外根据pci dss认证的要求，涉及认证范围内的系统还需要进行系统内部和外部（asv）的漏洞扫描，并提交报告。实施服务商应具备pci标准委员会授权认可的pci asv漏洞扫描服务商资质，且按照pci要求安排具有asv扫描资质的人员执行以季度为单位的pci asv漏洞扫描服务。这就意味着只有asv资质的人员进行漏洞扫描才有效果，所有第三方的扫描都没有作用。支付卡行业第11.2条要求企业至少每季度、或者是网络重要变革之后，执行外部和内部网络扫描。每个季度扫描出来的文档企业都应该保存下来，检测到的高风险漏洞都必须尽快修复，并且应该进行后续扫描，直到所有问题得到顺利解决。

　　pci dss认证虽然严格，但在专业机构和相关人员的指导下，严格执行还是能够完成的。pci dss认证能让企业的网络更安全，还能降低用户数据泄露的可能性。随着网络安全法的颁布以及人们对网络安全的重视，通过pci dss认证的公司将会越来越多，支付卡行业的数据信息将会越来越安全。