支付卡行业数据安全标准（PCI DSS）是一项全球金融信息安全标准，旨在保护信用卡持有人的安全。它确保任何处理信用卡交易的公司都遵守最高的技术标准。PCI认证有几个级别。第一级（最高级别）是为那些处理信用卡数量最多的公司保留的。处于一级PCI合规性的公司将受到最严格的检查。CloudFlare的使命是为世界上一些最重要的公司提供安全保障。这就是为什么CloudFlare选择作为一级服务提供商接受审计。通过遵守PCI严格的财务安全控制，CloudFlare确保安全性达到最高标准，并由公认的机构独立验证这些控制措施。如果您有兴趣了解更多信息，请参阅以下有关支付卡行业数据安全标准的详细信息。今年从PCI2.0升级到3.1早就过期了。PCI DSS 2.0于2010年10月发布，信息安全威胁的前景不会停滞不前，尤其是在涉及金融支付或信用卡的行业。新的攻击几乎每天都会发生，这意味着过时的安全标准往往比没有标准更糟糕。PCI 3.1的新增功能？在PCI3.1中，PCI委员会试图解决这个问题，既涵盖了自上一个版本标准以来出现的已知攻击，又加强了对未来攻击的金融安全控制。以下是PCI版本2.0和3.1之间的更改摘要：可达性和意识PCI委员会已经意识到，任何组织的第一道防线都是信息安全从业人员、开发人员和工程师。考虑到这一点，委员会删除了PCI-DSS文档中的大部分"法律用语"，使其对普通人来说是可读的。每个部分都有一个解释，每个要求都有一个理由，如果可能的话，还可以举例说明。PCI生命周期PCI标准的2.0版本依赖于每个组织必须通过的年度审计来证明其合规性。这导致了一种"勾选框安全"的文化，在这种文化中，组织将在一年内完成最低限度的工作，然后匆忙进行必要的更改，以便在审计时及时满足合规要求。这是个不好的安全措施。安全应该是全面和持续的。公司应该确保组织的每一层都有安全性。安全特性应该从一开始就融入到产品中。这不仅是实现安全的最便宜的方法，而且也是最安全的方法。为此，PCI 3.1被设计成集成到合规组织的日常运营中。这种集成的范围从在关键的操作过程中安装自己，到确保PCI合规性是公司用于构建产品的软件开发生命周期（SDLC）的一个组成部分。PCI存在于操作的每个级别。此外，PCI现在要求支持这些关键业务功能的流程是健壮的。这意味着补丁管理过程或漏洞测试过程都有一个明确定义的所有者、一个明确定义的评审过程和一个明确的时间表。进一步解决"勾选框安全性"围绕PCI 2.0开发的"tickbox安全性"文化的另一个方面是，可以使用文档来愚弄审计过程。这使得公司倾向于一种"烟雾和镜子"的策略，以掩盖实质性的安全缺陷，或暗示不存在的补偿控制。为了解决这个问题，PCI 3.1对证据的要求变得更加严格。仅仅说"这里有一些关于这个控制的文书工作"已经不够了。在组织被视为合规之前，控制本身必须经过审核员的测试和评估。此外，PCI 3.1还坚持在开发生命周期的每个阶段定期进行漏洞测试。这个需求被设计用来捕捉那些可能已经从裂缝中溜走的弱点，并检测那些不知怎么漏掉了修补程序的软件漏洞。分担责任对于许多信息安全从业者来说，安全性是一个复杂的、多参与者的可交付成果。这意味着，这一链条中的薄弱环节可能，而且经常会破坏其他实质上更安全的组织。PCI 3.1现在通过定义支付过程中所有利益相关者的责任来认识到这一点。无论你是一个商人，服务提供商，还是发卡机构，都不可能完全外包责任。这就迫使整个链条暴露在阳光下，并确保良好的安全措施在每一步都得到遵守。以旧换新（TLS）tls1.0和1.1已经存在很长时间了ssl3.0甚至更长。问题是加密有一个有效期。随着时间的推移，这些系统中会发现一些缺陷，计算性能达到了可以破坏广泛使用的加密算法的水平。最终，昨天的加密技术不再提供与第一次发布时相同的保护。对于PCI 3.1，支付卡行业通过为旧的加密标准设置"日落日期"来认识到这一点。为了在2016年6月30日之后保持合规性，公司必须关闭SSL 3.0、TLS 1.0和TLS 1.1。这是朝着正确方向迈出的一步，它对CloudFlare的影响与对客户的影响一样大。然而，世界上仍有相当一部分人使用TLS1.0（上次我们查看了14%的流量）。我们认识到，并不是每个人都想或需要这样做。因此，我们将为希望符合PCI标准的客户提供一项功能，使他们能够确保其CloudFlare配置符合PCI DSS准则。摘要PCI 2.0和3.1之间的变化使CloudFlare的重新认证成为一个漫长但极具启发性的过程。作为一级服务提供商，我们实现了完全的合规性，同时大大提高了我们的安全性。通过这一过程，我们还了解了客户的法规遵从性需求，而且您可以期待更多与法规遵从性相关的功能在未来的道路上出现。