PCI DSS 3.2.1版已于近期停用,并于2024年4月1日由4.0版取代。此次新版本做出了一些重大变化,所有处理支付卡数据的商家和服务提供商都需要了解这些变化,并制定计划以履行合规义务。
在2025年3月31日之前,许多新要求均为最佳实践,但当中传达的信息非常明确:现在就开始规划,以确保在未来的要求生效之前,实施并符合所有要求。
PCI DSS是什么?
PCI DSS是由银行卡组织(如Visa、万事达等)和行业专家机构制定的全球标准,旨在确保银行卡支付安全。这套安全控制措施涵盖信息安全的基本方面,并延伸至支付卡处理系统所涉及的人员、流程和技术。
任何存储、处理或传输支付卡数据的实体都有义务遵守PCI DSS。该标准还适用于可能影响信用卡处理环境安全的实体,如云服务提供商、支付网关和托管服务提供商。
v4.0解决了哪些问题?
该标准旨在解决支付系统中使用的新技术所带来的新风险和攻击方法。更新内容:
- 采用不同的方法来提高灵活性,以实现安全目标。
- 根据不断变化的威胁支持安全需求。
- 将安全作为一项持续服务加以推进。
- 加入增强的合规性验证方法和程序。
以下是4.0版中需要注意的几项重要更新:
- 定制方法:一种新的报告方法,用于测试和验证基于满足安全目标(而非规范性控制)的要求。
- 角色和责任:针对每项要求进行定义,将安全作为一个持续的过程加以推进,确保有效地分配和管理任务。
- 文件范围:此前的版本一直需要支持评估,但现在要求提供详细的构件,并且每年对商家审查一次,每半年对服务提供商审查一次。
- 有针对性的风险分析:根据恶意软件、应用程序和系统账户的风险级别来确定某些合规活动的频率;POI检查、日志审查、漏洞管理和付款页面的完整性检查。
- 更严格的多重身份验证(MFA)要求:任何对持卡人数据环境(CDE)的访问都需要MFA,而不仅仅是管理访问。这样可以提高安全性,防止潜在的未经授权访问。
- 新的电子商务和网络钓鱼要求,以应对持续存在的威胁:对付款页面脚本进行完整性检查,并在电子邮件系统启用“注意义务”。
- 加强加密和密钥管理:要求使用强大的加密密钥、用于存储PAN的密钥哈希值、库存和单独的密钥管理程序。
- 增强日志记录和监控:更广泛地记录跨环境的活动、访问和警报。实现日志审查自动化,以便更好地检测异常和可疑活动。
- 提高IAM和密码安全性:更严格的密码要求和策略,以防止暴力破解攻击。审查并重点关注系统和应用程序账户,尤其是具有交互登录功能的账户。
- 经验证的内部漏洞扫描:需要进行规划和确定范围,以确保能够及时纠正任何其他发现,以便进行评估。
- 漏洞管理:修复漏洞,而不仅仅是严重或高危漏洞。
- 事件响应:意外PAN检测、付款页面修改等。
这些更新采用更加以数据为中心的方法来保护持卡人的敏感数据。对于商家和服务提供商来说,这意味着新标准需要更多的规划、技术解决方案、资源和预算,才能满足合规要求。
安全承诺
采用PCI DSS 4.0版,即表明持续致力于保障数据安全。您可以通过转型和满足最新的行业标准,维护客户对您的信任和信心,并履行相应的义务。
优先保护支付卡还可以降低因潜在违规和违规罚款而造成的财务和声誉受损风险。确认验证和证明程序也很重要,这可能包括提交新的调查问卷或修改内部政策和程序。
下载《PCI DSS 4.0版概览》。更多内容请阅读我们数字信任专家撰写的文章:John Kociak的《NIST网络安全框架:2.0版的新内容》和Terry Minford的《防御AI的黑暗面》。
欢迎订阅我们的Experts Corner-2-Go LinkedIn时事通讯,获悉最新的思想领导力内容:数字信任、EHS、供应链。
