组织需要了解PCI DSS v4的哪些信息.0?
我们发表了我们的总结 支付卡行业数据安全标准(PCI DSS) v4中的关键变化.0 两年前.
现在, 各实体准备根据新标准进行首次评估, 我们想分享一些我们在帮助客户准备满足新的和变化的需求时所学到的关键经验.
什么是PCI DSS?
PCI DSS是一个全球公认的框架,为保护账户数据设定了技术和操作标准.
2022年3月31日,PCI安全标准委员会(PCI SSC)发布了版本 4.PCI DSS为0,有三年的过渡期来取代以前的版本(3.2.1). 此更新旨在解决新出现的威胁, 适应不断发展的技术,采用创新的方法来应对新的风险.
PCI DSS v4的主要目标是什么.0?
继续满足行业需求: 新版本旨在满足支付行业不断发展的安全需求. 它认识到安全是一个持续的过程,并相应地进行调整.
作为一个持续的过程促进安全: PCI DSS v4.0强调安全不是一次性事件,而是一个持续努力的过程. 组织必须保持警惕,适应不断变化的威胁.
增强灵活性: 该标准通过引入额外的方法来实现其安全目标,为组织提供了灵活性. 它承认不同的方法可以有效地维持支付.
改善付款确认方法和程序: PCI DSS v4.0增强验证方法, 确保组织能够有效地评估和验证其遵从性.
PCI DSS v4的过渡期和时间表是什么.0?
过渡时期: 从2022年3月到2024年3月31日,组织可以在PCI DSS v3下运行.2.1和v4.0. 这使得组织有时间熟悉这些变化, 更新报告模板并实施必要的调整.
v3的退役.2.1: 截至2024年3月31日,PCI DSS v3.2.1已退役,v4已退役.0将是唯一的活动版本. 确保您的评估员已经完成了强制性的v4.在开始下一次评估前进行0次培训.
PCI DSS v4的主要变化是什么.0?
在接下来的一个月, 我们的团队将分享对v4的PCI DSS的一些更详细的需求更新和更改的见解.0,其中包括:
要求1 -安装和维护网络安全控制:与防火墙相关的术语已被修订,以涵盖更广泛的网络安全控制. 此更改支持用于实现传统上与防火墙相关的安全目标的各种技术.
要求2 -将安全配置应用于所有系统组件:已经进行了几次更新,旨在澄清持卡人数据环境(CDE)中保护资产配置要求的范围和意图。.
要求3 保护存储的帐户数据:围绕敏感认证数据(SAD)的存储设置了新的限制。, 和额外的密码控制必须实施,以保护持卡人的数据(CHD).
要求4 -保护持卡人的数据与强大的加密传输期间开放, 公共网络:现在必须正式列出受信任的密钥和证书.
要求5 -保护所有系统和网络免受恶意软件:恶意软件扫描现在必须覆盖可移动媒体, 所有实体都必须部署反网络钓鱼控制.
要求6 -开发和维护安全的系统和软件:支付页面上使用的自定义软件和客户端脚本必须进行盘点, 此外,还需要实施额外的技术控制来保护基于网络的支付页面.
要求7 -根据业务需要限制对系统组件和持卡人数据的访问:必须至少每六个月对CDE内的所有用户帐户进行一次用户访问审查.
要求8 -识别用户和认证访问系统组件:PCI DSS现在要求对所有进入持卡人数据环境的访问实施MFA,并最终将最小密码长度增加到12个字符.
要求9 -限制对持卡人数据的物理访问:仅对物理访问的限制进行了轻微更改, 两者都与附加文档有关.
要求10 -记录和监控对系统组件和持卡人数据的所有访问:现在重点放在使用自动化来检测安全事件, 包括所有关键安全组件的任何故障.
要求11 -定期测试系统和网络的安全性:漏洞修复计划必须解决所有严重等级(而不仅仅是那些被认为是“高风险”的), 内部漏洞扫描需要身份验证模式.
要求12 —通过组织的政策和程序支持信息安全:在要求1-11中增加了文档化职责的额外要求, 需要执行全面的风险评估(使用NIST), 倍频程, 等.)已被“针对性风险分析”所取代.
了解PCI DSS v4中的自定义方法.0:不同于“补偿控制”的概念(现在仍然存在), 定制方法仅适用于正在进行合规报告(ROC)评估的实体。.
了解PCI DSS v4中的针对性风险分析.0:而目标风险分析一般简化了风险评估过程, 所有实体都应该了解必要的考虑, 特别是如果将PCI风险评估纳入更广泛的风险管理策略.
bet9平台游戏提供商的新要求:第三方bet9平台游戏提供商必须满足旨在保护其客户PCI环境的额外要求. 理解这些义务对tpp和依赖其bet9平台游戏的商家同样重要.
一定要回来看看我们的 PCI DSS解决方案页 当我们提供额外的指导和资源时.
施耐德倒下有何帮助?
作为认证合格保安评核员(QSA), 施耐德唐斯有能力通过提供可扩展的bet9平台游戏来帮助客户满足PCI合规性要求, 有效的解决方案,以满足PCI合规的严格要求.
如果您对PCI DSS v4有任何疑问.请随时与施耐德唐斯团队联系 contactsd@hadeslo.com 或浏览我们的 PCI DSS解决方案网站.
相关资源
PCI DSS资源中心
PCI PSS DSS v4.0资料简介
关于施耐德唐斯风险咨询
我们经验丰富的风险咨询专业团队专注于与您的组织合作,以识别并有效降低风险. 我们的目标不仅是了解与组织的潜在损失相关的风险, 而是要推动为您的组织增加价值的解决方案,并就机会提供建议,以确保对您的业务造成最小的干扰.
探索我们的全部 风险咨询bet9平台游戏 提供或与团队联系 contactsd@hadeslo.com.