2024年4月1日

PCI DSS v4.你准备好了吗?

IT风险咨询
by 肖恩·托马斯。

组织需要了解PCI DSS v4的哪些信息.0?

我们发表了我们的摘要支付卡行业数据安全标准(PCI DSS) v4的主要变化.0 两年前.

现在, 各实体准备根据新标准进行首次评估, 我们想分享一些我们在帮助客户准备满足新的和变化的需求时所学到的关键经验.

什么是PCI DSS?

PCI DSS是一个全球公认的框架，为保护账户数据设定了技术和操作标准.

2022年3月31日，PCI安全标准委员会(PCI SSC)发布版本4.PCI DSS为0，有三年的过渡期来取代以前的版本(3.2.1). 此更新旨在解决新出现的威胁, 适应不断发展的技术，采用创新的方法来应对新的风险.

PCI DSS v4的主要目标是什么.0?

继续满足行业需求: 新版本旨在满足支付行业不断发展的安全需求. 它认识到安全是一个持续的过程，并相应地进行调整.

作为一个持续的过程促进安全: PCI DSS v4.0强调安全不是一次性事件，而是一个持续努力的过程. 组织必须保持警惕，适应不断变化的威胁.

增强灵活性: 该标准通过引入额外的方法来实现其安全目标，为组织提供了灵活性. 它承认不同的方法可以有效地维持支付.

改善付款确认方法和程序: PCI DSS v4.0增强验证方法, 确保组织能够有效地评估和验证其遵从性.

PCI DSS v4的过渡期和时间表是什么.0?

过渡时期: 从2022年3月到2024年3月31日，组织可以在PCI DSS v3下运行.2.1和v4.0. 这使得组织有时间熟悉这些变化, 更新报告模板并实施必要的调整.

v3的退役.2.1: 截至2024年3月31日，PCI DSS v3.2.1已退役，v4已退役.0将是唯一的活动版本. 确保您的评估员已经完成了强制性的v4.在开始下一次评估前进行0次培训.

PCI DSS v4的主要变化是什么.0?

在接下来的一个月, 我们的团队将分享对v4的PCI DSS的一些更详细的需求更新和更改的见解.0，其中包括:

要求1 -安装和维护网络安全控制: 与防火墙相关的术语已经过修订，以涵盖更广泛的网络安全控制. 此更改支持用于实现传统上与防火墙相关的安全目标的各种技术.

要求2 -对所有系统组件应用安全配置:有几个更新旨在澄清围绕保护持卡人数据环境(CDE)中的资产配置的需求的范围和意图。.

要求3 -保护存储的帐户数据:围绕敏感身份验证数据(SAD)的存储设置了新的限制, 和额外的密码控制必须实施，以保护持卡人的数据(CHD).

要求4 -在开放传输过程中使用强加密技术保护持卡人数据, 公共网络可信密钥和证书现在必须正式编目.

要求5 -保护所有系统和网络免受恶意软件侵害: 恶意软件扫描现在必须覆盖可移动媒体，所有实体必须部署反网络钓鱼控制.

要求6 -开发和维护安全系统和软件: 在支付页面上使用的定制软件和客户端脚本必须进行盘点, 此外，还需要实施额外的技术控制来保护基于网络的支付页面.

要求7 -限制企业访问系统组件和持卡人数据 必须至少每六个月对CDE内的所有用户帐户执行一次用户访问审查.

要求8 -识别用户和认证对系统组件的访问: PCI DSS现在强制要求对所有进入持卡人数据环境的访问实现MFA，并最终将最小密码长度增加到12个字符.

要求9 -限制对持卡人数据的物理访问: 对物理访问的限制只做了微小的改变, 两者都与附加文档有关.

要求10 -记录和监控对系统组件和持卡人数据的所有访问: 现在的重点是使用自动化来检测安全事件, 包括所有关键安全组件的任何故障.

要求11 -定期测试系统及网络的保安: 漏洞补救计划必须处理所有的严重性等级(不仅仅是那些被认为是“高风险”的), 内部漏洞扫描需要身份验证模式.

要求12 -通过组织政策和计划支持信息安全: 在需求1-11中增加了文档职责的额外需求, 需要执行全面的风险评估(使用NIST), 倍频程, 等.)已被“针对性风险分析”所取代.

了解PCI DSS v4中的自定义方法.0: 不同于“补偿控制”的概念(仍然存在), 定制方法仅适用于正在进行合规报告(ROC)评估的实体。.

了解PCI DSS v4中的针对性风险分析.0: 而目标风险分析通常简化了风险评估过程, 所有实体都应该了解必要的考虑, 特别是如果将PCI风险评估纳入更广泛的风险管理策略.

对bet9平台游戏供应商的新要求: 第三方bet9平台游戏提供商必须满足旨在保护其客户PCI环境的附加要求. 理解这些义务对tpp和依赖其bet9平台游戏的商家同样重要.

一定要回来看看我们的 PCI DSS解决方案页当我们提供额外的指导和资源时.

施耐德倒下有何帮助?

作为认证合格保安评核员(QSA), 施耐德唐斯有能力通过提供可扩展的bet9平台游戏来帮助客户满足PCI合规性要求, 有效的解决方案，以满足PCI合规的严格要求.

如果您对PCI DSS v4有任何疑问.请随时与施耐德唐斯团队联系 (电子邮件保护) 或浏览我们的 PCI DSS解决方案网站.

相关资源

关于施耐德唐斯风险咨询

我们经验丰富的风险咨询专业团队专注于与您的组织合作，以识别并有效降低风险. 我们的目标不仅是了解与组织的潜在损失相关的风险, 而是要推动为您的组织增加价值的解决方案，并就机会提供建议，以确保对您的业务造成最小的干扰.

探索我们的全部风险咨询bet9平台游戏提供或与团队联系 (电子邮件保护).

你们已经听到了我们的想法，我们也想听听你们的想法

Schneider down 我们对博客的存在是为了就对组织和个人重要的问题进行对话. 虽然我们喜欢分享我们的想法和见解, 我们对你要说的特别感兴趣. 如果你对这篇文章有任何问题或评论，或者我们博客上的任何文章，我们希望你能和我们分享. 毕竟，对话是一种思想的交流，我们希望听到你的声音. 电邮至 (电子邮件保护).

所讨论的材料仅供参考, 而且这不能被理解为投资, 税, 或法律建议. 请注意，个别情况可能有所不同. 因此, 当与个人专业意见相协调时，应依赖此信息.

我们对

网络安全, IT风险咨询, 风险咨询/内部审计 BY 内森Shepler 4.19.2024

8审查用户访问时的关键考虑事项

SOC 2术语:供应商与子bet9平台游戏组织、分包商、第三方与第n方

糟糕的变更管理导致了AT吗&T无线和麦当劳的停电?

IT风险咨询, 风险咨询/内部审计, SOC BY 安娜年轻 4.3.2024

子bet9平台游戏组织:它们对SOC报告的作用和影响

网络安全, IT风险咨询 BY 玛德琳Adamczyk 4.3.2024

阿勒格尼县结婚证数据泄露可能影响最近的新婚夫妇