支付卡行业数据安全标准的关键变化- PCI DSS v4.0
PCI安全标准委员会已经发布了第4版.支付卡行业数据安全标准(PCI DSS)将于2022年3月31日生效.
作为一个 合资格保安评核员 (QSA), 施耐德唐斯团队的成员能够在发布之前审查标准的主要修订,并收集了我们对这些变化将如何影响寻求保持PCI DSS v4合规性的实体的想法.0.
PCI DSS v4的规划.0
好消息是,对大多数商家来说,这些变化不会立即生效. 然而,在 是 新的明确的文档需求,在PCI DSS v3下本质上是隐含的需求.2.1. bet9平台游戏提供者还必须向客户提供信息,说明哪些责任属于客户,哪些责任由提供者处理.
什么是新的针对性风险分析?
新的短语“目标风险分析”在新的PCI DSS出版物中出现了50多次. 附录E2提供了一个评估“恶作剧”(这是他们用来描述负面事件的词)可能性的模板。. 所有实体都必须完成8项要求,以便进行有针对性的风险分析,以确定如何将控制应用于其持卡人数据环境(CDE)。. 虽然这最终会给每个人带来更多的文书工作, 它确实在控制实现方面提供了一些灵活性.
什么是新的定制方法?
虽然补偿控制的概念作为PCI DSS的一部分已经有一段时间了,但是PCI DSS v4.0引入“定制方法”. 这允许实体采用自己的方法来满足任何DSS需求,而无需使用补偿控制方法所需的“记录的技术或业务约束”. 使用此方法的任何控制都需要有针对性的风险分析和详细的设计文档(立即生效)。. 一个重要的注意事项是,为了保持独立性,您的QSA不能协助控制设计.
新需求或变更需求摘要
虽然大多数新要求在2025年3月之前被认为是“最佳实践”, 对于任何在PCI DSS v4下看到认证的公司来说,必须立即实施其他标准.0. 我们建议企业在短期内评估所有其他要求,并在三年宽限期内制定实施路线图.
更改即时生效*
对于所有实体
- 现在需要对角色和职责进行正式的文档化, 分配, 并理解每个PCI要求1-12.
- 12.5.2 - PCI范围必须至少每12个月或在环境发生重大变化时记录和确认一次.
只适用于bet9平台游戏供应商
- 12.9.2 - 第三方bet9平台游戏提供商(TPSP)必须向客户提供有关其自身PCI遵从性的信息,以及客户与TPSP责任的细分.
变更将于2025年3月31日生效*
对于所有实体
数据管理
- 3.2.1 - 数据保留和处理策略, 程序, 和流程必须到位,以尽量减少授权前存储的任何SAD.
- 3.3.2 - 在授权之前以电子方式存储的任何SAD都必须使用强加密技术进行加密.
- 3.4.2 - 在使用远程访问解决方案时,必须采取技术控制措施,防止复制主帐号(PAN).
- 3.5.1.1 - 一次性衬垫不再是使PAN不可读的一种可接受的方法. 用于使PAN不可读的哈希必须是具有适当密钥管理的密钥加密哈希.
- 3.5.1.2 – 磁盘和分区级加密只能用于使PAN在可移动媒体上不可读. 对于不可移动介质,必须使用另一种机制.
- 3.6.1.1 - 所有用于在公共网络上加密PAN的证书必须被确认为有效的,而不是过期或撤销的.
- 4.2.1.1 - 必须维护所有可信密钥和证书的清单.
反恶意软件
- 5.2.3.1 & 5.3.2.1 - 必须进行有针对性的风险分析,以确定这两种情况的发生频率:
- 对识别为没有恶意软件风险的系统进行评估
- 对运行反恶意软件的系统进行扫描的频率
- 5.3.3 - 恶意软件扫描必须在使用可移动媒体时运行.
- 5.4.1 - 反网络钓鱼控制必须到位,以保护人员.
定制软件 & Web应用程序
- 6.3.2 - 必须维护所有定制和定制软件的清单.
- 6.4.2 - 必须有一个自动化的技术解决方案(例如web应用程序防火墙)来持续检测和防止基于web的攻击.
- 6.4.3 - 支付页面上使用的任何客户端脚本都必须进行编目和完整性检查.
- 11.6.1 – 更改/篡改检测必须部署在任何基于web的支付页面上.
身份和访问管理
- 7.2.4, 7.2.5 & 7.2.5.1 - 用户访问必须至少每六个月审查和验证一次. 这适用于特权帐户和非特权帐户.
- 8.3.6 - 标准密码长度至少为12个字符. 字符必须包含字母和数字.
- 8.4.2 & 8.5.1 - 必须使用多因素身份验证(MFA)保护对CDE的所有访问。. MFA必须配置为防止旁路或重放.
- 8.6.1 - 任何使用系统/bet9平台游戏帐户的交互式登录都必须有记录的业务理由, 管理审批, 以及对系统帐户下的个人行为的可追溯性.
- 8.6.2 - 系统/bet9平台游戏帐户的密码不能在硬编码脚本中使用, 配置文件, 源代码, 等.
- 8.6.3 - 系统/bet9平台游戏帐户密码长度和轮换时间表可根据有针对性的风险分析确定, 但标准建议在15个字符,每年至少轮换一次.
- 9.5.1.2.1 - 必须进行有针对性的风险分析,以确定POI设备检查的频率.
日志和警报
- 10.4.1.1 - 日志审查必须是自动化的.g., (通过正确配置的SIEM解决方案),用于所有关键系统组件, 那些储存的, 过程, 或传送持卡人资料或SAD, 以及所有安全组件或设备.
- 10.4.2.1 - 必须执行目标风险分析,以确定所有其他系统组件的日志审查频率.
- 10.7.2 & 10.7.3 - 必须为所有关键的安全组件提供及时的检测和响应.
- A3.3.1 – 自动日志审查机制和代码审查工具的故障必须及时检测和处理.
脆弱性管理
- 11.3.1.1 – 漏洞补救计划必须处理评级低于高或严重的漏洞.
- 11.3.1.2 – 内部漏洞扫描必须以认证模式执行, 任何不支持身份验证扫描的系统都要适当记录.
风险评估及文件编制
- 12.3.1 – 必须对所有控制进行有针对性的风险分析,并在实施中具有灵活性.
- 12.3.3 – 所有使用的密码和协议都必须记录在案, 至少每年审查一次, 并且必须有一个文档化的策略,以便快速替换被发现易受攻击的任何密码或协议.
- 12.3.4 – 所使用的硬件和软件技术必须至少每年记录和审查一次,以确保供应商将继续支持它们.
意识和培训
- 12.6.2 – 安全意识计划必须至少每年审查一次,并根据需要进行更新.
- 12.6.3.1 & 12.6.3.2 – 意识培训必须解决可能影响CDE安全性的威胁和漏洞, 至少包括网络钓鱼和其他社会工程. 培训还必须涉及最终用户技术的可接受使用.
事件响应
- 12.10.4.1 – 必须进行有针对性的风险分析,以确定事件响应人员的培训频率.
- 12.10.5 – 安全事件响应计划必须考虑到基于web的支付页面上的更改/篡改检测事件.
- 12.10.7 – 必须有特定的事件响应程序来处理CDE外PAN的检测.
仅针对bet9平台游戏提供商的更改*
数据管理
- 3.3.3 - 发行者必须使用强加密技术存储所有SAD.
- 3.6.1.1 - 加密环境的文档和设计必须防止在生产环境和测试环境中使用相同的密钥.
身份和访问管理
- 8.3.10.1 - 如果使用密码/密码短语作为客户身份验证的单一因素(i.e., 没有启用MFA)这些密码必须至少每90天更改一次,或者“动态分析帐户的安全状态以确定对资源的实时访问”。. 参阅后一种选择的进一步资料, PCI SSC建议阅读NIST SP 800-207零信任架构.
渗透测试
- 11.4.7 - 第三方托管/云bet9平台游戏提供商现在必须支持其客户进行外部渗透测试. 这意味着作为一个bet9平台游戏提供者, 你必须提供你自己的渗透测试的证据来满足需求11.4.3和11.4.4在共享的基础设施上,或者允许每个客户执行他们自己的基础设施渗透测试.
- A1.1.4 – 客户和提供商环境的逻辑分离必须至少每六个月通过渗透测试确认一次.
脆弱性管理
- 11.5.1.1 - 隐蔽的恶意软件通信通道(如.g., DNS隧道)必须通过入侵检测和防御技术的组合来解决. 测试程序要求检查配置设置,但不要求测试控制的有效性.
风险评估及文件编制
- 12.5.2.1 - PCI范围必须每6个月记录和审查一次(而不是12个月为一个周期).5.2)发生重大变化后.
- 12.5.3 – 任何重大组织变更对PCI遵从性的影响必须记录并报告给执行管理层.
- A1.1.1 – 必须在客户的环境和提供者的环境之间建立逻辑分离.
- A1.2.3 – 提供者必须实现机制,以便客户安全地向提供者报告可疑事件和漏洞.
想分享这篇文章? 下载 PDF版本.
施耐德倒下有何帮助?
作为认证合格保安评核员(QSA), 施耐德唐斯有能力通过提供可扩展的bet9平台游戏来帮助客户满足PCI合规性要求, 有效的解决方案,以满足PCI合规的严格要求. 如果您对PCI DSS 4有任何疑问.请随时与施耐德唐斯团队联系 (电子邮件保护) 或浏览我们的 PCI DSS解决方案网站.
*来源: 确保支付的未来:PCI SSC发布PCI数据安全标准v4.0 (pcisecuritystandards.org
