该章节主要求中重申了对于非永久存储位置的账户数据应进行妥善的控制，使用完成后应立即删除。如变为永久存储，应按要求进行加密保护。

要求 3.3.2 增加了对授权完成前的敏感认证数据存储的强加密保护。

要求 3.4.2 限制远程访问时对卡号的拷贝与移动，要求通过技术手段进行限制。

要求 3.5.1.1 增加了对哈希算法中用到的密钥的安全管理要求。

要求 3.7.9 涉及共享密钥时对密钥的指导。

请注意：标准3.3.1-3.3.2 和3.5.1.1 禁止使用定制化验证方法（customized approach）

要求 4：在开放的公共网络上传输过程中使用强效加密保护持卡人数据

要求 4 针对主账号的传输保护，进一步澄清了机构的内网与涉卡范围的持卡人数据有数据传输时，将使得这个内网需要进行PCI DSS 要求的审核。同时也澄清了主账号的传输可以在数据层面，也可以在会话层面，并推荐两个层面均实施保护。