PCI DSS v4.0:支付資料安全新標準
PCI DSS v3.2.1最近已停用,並於2024年4月1日起被v4.0取代。這個新版本帶來了重大的變化,所有處理付款卡數據的商家和服務提供商都需要了解並計劃以滿足合規義務。
雖然許多新要求在2025年3月31日之前都是最佳實踐,但信息非常清楚:現在開始計劃,以確保在未來要求生效之前實施並符合所有條件。
PCI DSS是由卡組織(如Visa、Mastercard等)和一群行業專家制定的全球標準,旨在確保安全的卡支付。一套安全控制措施涵蓋了信息安全的基本方面,並擴展到涉及付款卡處理系統的人員、流程和技術。
任何存儲、處理或傳輸付款卡數據的實體都有義務符合PCI DSS的合規要求。該標準還適用於可能影響信用卡處理環境安全的實體,如雲服務提供商、支付網和托管服務提供商。
v4.0解決了什麼問題?
該標準旨在應對支付系統中出現的新風險和攻擊方法。更新內容如下:
• 提供了使用不同方法實現安全目標的靈活性
• 根據不斷演變的威脅支持安全需求
• 將提升安全作為一項持續服務
• 增強合規驗證方法和程序
以下是v4.0中的一些重要更新:
• 定制方法:使用新的報告方法,用於根據滿足安全目標而不是規定性控制來測試和驗證需求
• 角色和責任:為每個要求定義角色和責任,以促進安全作為一個持續的過程,確保任務的分配和有效管理
• 範圍文檔:在以前的版本中始終需要支持評估,但現在要求商家每年進行詳細的文檔審查,服務提供商則每半年進行審查
• 針對性風險分析:根據惡意軟件、應用程序和系統賬戶,以及POI檢查、日誌審查、漏洞管理和付款頁面完整性檢查的風險水平來定義某些合規活動的頻率
• 更強的多重要素驗證(MFA)要求:對於任何對持卡人資料環境(CDE)的訪問,都需要使用MFA,而不僅僅是管理訪問﹐這提高了防止潛在非授權訪問的安全性
• 應對持續威脅的新電子商務和網路釣魚要求:對付款頁面腳本進行完整性檢查,對電子郵件系統進行“謹慎責任”管理
• 更好的加密和密鑰管理:要求使用強大的加密密鑰,對存儲的發卡行識別碼(PAN)進行鍵控哈希、庫存和獨立的密鑰管理程序
• 增強的日誌記錄和監控:在各個環境中記錄和警報活動、訪問情況,自動化日誌審查以更好地檢測異常和可疑活動
• 改進的身份和密碼安全性:更強的密碼要求和政策,以防止暴力破解攻擊。重點關注系統和應用程序賬戶,特別是具有交互式登錄功能的賬戶
• 經過身份驗證的內部漏洞掃描:需要進行計劃和範圍界定,以確保任何額外發現的問題可以及時修復以進行評估
• 漏洞管理:修復漏洞,不僅限於被分類為嚴重或高風險的漏洞
• 事件響應:意外發現PAN、付款頁面修改等
這些更新采用了以數據為中心的方法來保護敏感的持卡人數據。對於商家和服務提供商來說,這意味著新的標準將需要額外的計劃、技術解決方案、資源和預算來達到合規要求。
致力於安全
採用PCI DSS v4.0表明對數據安全的持續承諾。通過過渡並滿足更新的行業標準,您可以保持與客戶的信任和信心,並履行適用的義務。
優先考慮支付卡保護還可以降低潛在違規和違法罰款所帶來的財務和聲譽損失的風險。確認驗證和證明程序的有效性也很重要,這可能包括提交新的問卷或修訂內部政策和程序。
Source: PCI DSS v4.0: The new standard for payment security
BSI可提供的相關課程
支付卡產業資料安全標準(PCI DSS) 4.0精解課程
本課程旨在協助存儲、處理、傳遞或以其他方式處理信用卡或扣賬卡數據的組織,無論他們是商戶還是服務提供商,理解PCI DSS v4.0的要求以及該標準如何適用於他們。
其他與資料安全相關的課程
ISO/IEC 27001 資訊安全管理系列課程
ISO/IEC 27001 是由BSI 針對資訊安全所制定的 BS 7799 國際標準發展而來,因此BSI 所開設的ISO/IEC 27001 系列課程,將提供最標準且完整的風險分析及處理程序,協助組織建立一套完整的資安管理系統,有效解決當前資安問題,並降低日後資安管理所可能面臨的風險。
ISO/IEC 27001:2022 CQI & IRCA主導稽核員訓練課程
此課程主要是提供根據 ISO/IEC 27001 執行第一方、第二方和第三方 ISMS 審核所需的知識和技能。
對組織的益處
• 系統化的規劃與執行管理系統之稽核
• 學習第三方稽核的程及審查技巧
• 在驗證前確認管理系統健全度