扫一扫分享微信
今天,全球支付安全论坛PCI安全标准委员会(PCI SSC)发布了PCI数据安全标准(PCI DSS)的4.0版本。PCI DSS是一项全球标准,为旨在保护账户数据的技术与运营要求设定了基线。PCI DSS v4.0取代3.2.1版本,以应对各种新兴威胁和技术,并为应对新威胁的创新方法提供支持。更新后的标准和“变更概要”文件现已在PCI SSC网站上公布。
为让各组织有时间了解4.0版本的变化并实施所需更新,PCI DSS现有版本3.2.1将可继续使用两年,直至2024年3月31日停用。评估员完成PCI DSS v4.0的相关培训后,各组织可以评估选择PCI DSS v4.0或PCI DSS v3.2.1。该标准还为各组织提供了更多时间,以满足许多新要求。有关实施时间表的更多信息,请参见PCI观点博客。
全球支付行业反馈推动了对标准的更改。在三年的时间里,200多个组织提供了超过6000项反馈,确保该标准持续满足复杂且不断变化的支付安全状况。
PCI SSC执行董事Lance Johnson表示:“行业在开发PCI DSS v4.0方面拥有前所未有的远见性和影响力。我们的利益相关者提供了数量丰富、见解深刻、种类多样的意见,帮助委员会高效推进开发该版本的PCI数据安全标准。”
标准更新的重点是满足支付行业不断变化的安全需求,促进将安全作为一个持续流程,提高各组织使用不同方法实现安全目标的灵活性,以及增强验证方法和程序。有关此次更新的详细信息,请参见PCI SSC网站上提供的PCI DSS v4.0“变更概要”文件。
PCI DSS v4.0的变更示例包括:
根据网络安全控制更新防火墙术语,以支持更广泛的技术,实现传统上由防火墙达到的安全目标。
扩展“第8项要求”,以实现多因素身份验证(MFA),从而全面访问持卡人数据环境。
提高各组织的灵活性,以展示他们如何运用不同方法来实现安全目标。
增加有针对性的风险分析,使各实体能够灵活地确定开展某些活动的频率,以便最大化地适应其业务需求和风险敞口。
观看:“PCI DSS v4.0”初览”视频,委员会众代表在视频中讨论了标准的关键变化。
PCI SSC高级副总裁兼标准官Emma Sutcliffe表示:“PCI DSS v4.0对于支付的动态属性和威胁环境更加敏感。4.0版本继续加强核心安全原则,同时提供更大的灵活性,以更好地实现多元化技术实施。这些更新得到了其他指南的支持,以帮助组织在当前和未来保护账户数据。”
收听:委员会咖啡座谈:PCI DSS v4.0预览及转型培训播客,委员会代表讨论对PCI DSS v4.0的期待和有关评估员培训的信息。
除了更新的标准之外,PCI SSC文件库中发布的辅助文件还包括:PCI DSS v3.2.1至v4.0的“变更概要”、v4.0合规报告(ROC)模板、ROC合规证明(AOC)和ROC常见问题。自我评估问卷(SAQ)将在未来几周内发布。
为了支持PCI DSS在全球的采用,该标准和“变更概要”将被翻译成多种语言。这些翻译版本将在未来几个月(2022年3月至6月)内陆续发布。
委员会将在全年提供更多信息,帮助社区了解对标准所作的各项修改。其中包括PCI DSS专题研讨会,这是一项面向PCI SSC社区成员的在线教育活动,将于2022年6月21日举行。评估员相关培训将于6月提供。关于评估员培训课程时间表,请查阅PCI SSC培训资源页面。
查看:“PCI DSS v4.0一览”,这是关于PCI DSS v4.0变更内容的概述文件。
敬请订阅PCI观点博客以获取更多资源,包括播客、视频和博客帖子,旨在帮助组织完成向PCI DSS v4.0的过渡。
关于PCI安全标准委员会
PCI安全标准委员会(PCI Security Standards Council,PCI SSC)领导全球各行业努力提高支付安全性,通过提供灵活而有效的行业驱动型数据安全标准及计划,帮助企业检测、减轻和防止网络攻击及入侵。请在LinkedIn上与PCI SSC联系。请在Twitter上关注@PCISSC加入讨论。敬请订阅PCI观点博客。
