PCI DSS v4.0：支付安全的新版標準

PCI DSS v3.2.1 已在 2024 年 3 月 31 日停用，並以 v4.0 取代。這個新版本帶來了重要的變化，所有處理支付卡資料的商家和服務提供者都需要瞭解並計劃履行合規義務。

雖然新版內的部分要求在 2025 年 3 月 31 日前都是最佳實務，但組織應立即開始規劃，確保所有要求在強制生效日期時都能被實施並達到合規。

圖1、PCI DSS v4.0 新版內容摘要

什麼是 PCI DSS?

PCI DSS 是一個由信用卡組織（包括 Visa、Mastercard 等支付品牌）和產業專家共同制定的全球標準，旨在確保支付卡支付的安全。這套安全控制涵蓋了資訊安全的基本面向，並延伸到支付卡處理系統中涉及的人員、流程和技術。

任何儲存、處理或傳輸支付卡資料的組織都有義務遵守 PCI DSS。此標準同樣適用於可能影響支付卡處理環境安全的組織，包括雲服務提供者、支付閘道和託管服務提供者。

v4.0 解決了什麼問題？

PCI DSS v4.0 標準旨在解決支付系統中因採用新技術所產生的新風險和攻擊方法，相關更新包括：

持續符合支付產業安全需求
推動安全成為持續的作業
增加組織透過不同方式達成安全目標的彈性
提升驗證要求的方式與程序

以下是 v4.0 中需要注意的幾個重大更新：

客製化方法：一種用來建置與驗證的新方法，基於滿足安全目標而非依據 PCI DSS定義之方法。
角色和責任：為每項要求定義明確的角色和責任，將資訊安全視為一個持續的過程，確保各項作業得到有效分配和管理。
PCI DSS 範圍確認：2.1 版要求於第三方驗證時提供範圍相關文件，但現在商家需要每年提供詳細的資料自行進行審查範圍，服務提供者則需要每半年審查一次。
目標風險分析：根據惡意軟體、應用程式和系統帳戶的風險等級自行定義部分活動的頻率，例如：刷卡機檢查、日誌審查、弱點管理、以及付款頁面的完整性檢查。
加強的多因子驗證（multi-factor authentication, MFA）要求：對持卡人資料環境（cardholder data environment, CDE）的任何存取行為都要求使用 MFA，而不僅僅限於管理者。這提高了針對潛在未經授權訪問的安全性。
為應對持續性威脅，新增電子商務安全和防範網路釣魚的要求：對支付頁面程式進行完整性檢查，對電子郵件系統進行。
強化的加密和金鑰管理：需要使用強加密金鑰、金鑰加密雜湊、金鑰清單和金鑰管理過程。
增強的日誌記錄和監視：更廣泛地記錄跨環境的活動、存取和警報。日誌審查的自動化，以便更好地檢測異常和可疑活動。
改進的帳號和密碼安全性：更強的密碼要求和策略，以防止暴力攻擊。查看並關注系統和應用程式帳號，尤其是具有互動式登入功能的帳號。
內部認證方式弱點掃描：由經過認證的使用者/工具執行弱點掃描。
資安事件回應：偵測到預期外的 PAN (支付卡卡號)、付款頁面被修改等。