至少每三个月以及重大变化后需要进行一次漏洞扫描。PCI DSS 中的“重大变化”是什么意思？

PCI DSS 的重大变化

重大变化的定义在很大程度上取决于环境配置。

但是，PCI 委员会将这些活动视为“重大变化”：

• 添加到 CDE 的新硬件、软件或网络设备。
• CDE 中硬件和软件的任何更换或重大升级。
• 账户数据的流动或存储的任何变化。
• CDE 边界和/或 PCI DSS 评估范围的任何变化。
• 对 CDE 底层支持基础设施的任何更改（包括但不限于对目录服务、时间服务器、日志记录和监控的更改）。
• 对代表实体支持 CDE 或满足 PCI DSS 要求的第三方供应商/服务提供商（或提供的服务）进行的任何更改。

这些活动中的每一项至少都会对实体的持卡人数据环境 (CDE) 的安全性产生潜在影响，并且必须进行考虑和评估，以确定某项变更是否对该实体以及在相关 PCI DSS 要求的背景下具有重大意义。