支付卡產業資料安全標準(PCI DSS)正在修訂中,版本 4.0 的相關資訊已逐漸揭露。當前的版本 3.2.1 將實施至 2023 年第二季,亦即自版本 4.0 發布日起將有兩年的轉換期,各組織將有充裕的時間進行新舊版本轉換,版本 4.0 中的新要求將於 2024 年第一季強制實施。
對於 PCI DSS 版本 4.0,目前已知的資訊有哪些?
新版本的關鍵優先目標包括:增強安全性和增加靈活性
PCI DSS 的新版本為組織達成合規性的方式提供了彈性,新版標準著重於結果和目的,而非硬性規定達成標準規範的方法。然而,稽核人員將繼續透過與以往同樣嚴謹的方式驗證組織如何達成控制措施:
- 訪談、檢核設定和系統檢測、流程審查以及證據的蒐集與審查
總體來說,PCI DSS 版本 4.0 不會使 PCI DSS 的合規性變得更容易,但將提供更多的彈性讓組織符合並維持遵循性。
對受稽方而言:
這是好消息,代表受稽方在符合要求的實際做法上將擁有更大的彈性,但同時也代表執行控制的方式變得更主觀。
這代表哪些意義?
- 受稽方與稽核員的溝通交流可能更具挑戰性
- 可能導致更長的稽核流程
對合格安全評估機構(Qualified Security Assessor, QSA)而言:
PCI DSS 最具價值的要素之一是它對要求的描述性觀點,允許更多的彈性可能會導致在解讀規範時更主觀。
這意味著什麼?
- 稽核員必須做好充分準備以維持 PCI DSS 標準的嚴謹要求。
- 廣泛且多面向的瞭解客戶產業在過去和目前所面臨的威脅和攻擊,才能確認客戶的安全狀態。
- 達成 PCI DSS 控制措施的目的和結果仍是確保安全狀態的關鍵。
值得注意的是,除了未來新增加的控制項,組織繼續維持版本 3.2.1 的控制措施,無疑可以充分證明將來能符合 PCI DSS 版本 4.0 的相應要求。
我們可確定的是:將有新的控制要求
我們無法確定具體將加入哪些新控制要求,因為這些要求仍在進行意見徵求(Request for Comments , RFC)和保密協議(non-disclosure agreements , NDA)所約束。建議當新的版本公布後,儘早與您的 QSA 討論,以確保組織可符合新的控制要求,因為某些要求的實施和確保流程的維護將可能需投入較多的資源及準備。
關於可能推出的新要求,PCI SSC 發表了以下內容: 「一些提議中的新要求範例如:要求組織查對其 PCI DSS 範圍,以及對服務供應商的一些其他要求、提議對密碼要求進行修訂,以因應各種認證方式、更新風險評估要求,讓組織在風險管理流程中擁有更好的清晰度且獲得更明確的指引。」
如果您對於 PCI DSS 有任何疑問,請與我們聯繫。
參考資料來源: PCI SSC Portal
PCI DSS 基礎訓練 >
內部稽核員課程 >
主導稽核員課程 >
