PCI DSS v4.0变更系列之一——变更概述

已于 2022-12-30 11:08:06 修改
阅读量800 收藏 1
点赞数
分类专栏: PCI DSS相关 文章标签: 安全 经验分享 网络安全 系统安全 web安全 Powered by 金山文档
于 2022-12-30 11:05:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54957825/article/details/128492252
版权

1变更概述

支付卡产业安全标准委员会(PCI SSC)在2022年3月正式发布了PCI DSS v4.0版本,以替代现行的PCI DSS v3.2.1版本。

基于支付卡产业安全标准委员会所发布的“PCIDSS v3.2.1版本至v4.0版本的变更摘要”、“PCI DSS v4.0标准文档”以及举行的PCI DSS v4.0研讨会中提及的内容,本文旨在向读者介绍PCI DSS v4.0版本所带来的主要变化。本文主要适合于致力于PCI DSS合规的机构知晓并了解PCI DSS v4.0标准与现行的PCI DSS v3.2.1版本的主要变化。

另外,笔者尝试梳理新标准的所有技术要求点的变化,但也可能存在不全面之处。强烈建议读者在了解本文的基础上深入阅读PCI DSS v4.0标准的英文版本,以便更清晰地理解标准的出发点、详细的要求及审核方法。

1.1版本变更的时间线

图1:PCI DSS v4.0的时间线计划

如上图所示,我们将PCI DSS的时间计划分为三个阶段。详细的说明如下:

1.1.1发布与培训阶段(2022年6月至2022年底)

按照标委会计划,已经从2022年6月开始发布了相关的支持文档,并展开该标准的相关培训工作。通过培训和考试的机构及评估人员将获得具备执行PCI DSS v4.0审核的资质。atsec作为PCI 标委会授权的评估认证机构,已于2022年7月中旬完成了标委会相关培训和考试,并成为首批可执行PCI DSS v4.0标准评估的认证机构。

1.1.2从旧版本向新版本的转换阶段(2022年6月至2024年3月)

在此阶段,被审核机构可依据自身情况,选择使用v3.2.1或v4.0标准进行合规建设和合规审核工作,直至2024年3月31日。在那个时间点,PCI DSS v3.2.1版本将正式退出历史舞台。

基于PCI DSS标准中有很多标注为未来日期的要求点(2025年4月1日正式变为强制的要求点),强烈建议涉及到PCIDSS合规的机构尽早研究和落实这些技术要求点,以便更从容地完成新版本的转换。同时,atsec将在未来针对新版本向产业推出相应的培训活动,以助力相关机构更高效地完成版本的转换工作。

1.1.3新标准阶段(2024年4月及以后)

从2024年4月1日开始,PCI DSS合规将强制使用v4.0版本,基于v3.2.1版本的评估报告将不再被产业所接受。从那时起,v4.0将作为唯一现行的PCI DSS标准。

在2025年4月1日开始,v4.0版本涉及未来日期的要求点,将正式变为强制要求开始实施。

1.2主要变化概述

新版本的变化主要体现在如下几个方面:引入更灵活的合规和审核方法、标准易读性更强、标准要求点格式变化以及更强的控制点要求等等。

1.2.1引入了灵活性

该版本的一个突出的变化是在PCI DSS v4.0的第八章节,引入了“定制方法”(Customized approach)的审核方法。这个审核方法,允许被审核的机构基于PCI DSS标准的控制目标定义适合于本机构的控制矩阵,由审核机构独立地审核其控制措施。这种审核方法增加了标准要求的灵活性,更适应于安全管理能力突出、技术先进的机构。

1.2.2易读性更强

新版本在PCIDSS适用范围、抽样等章节,做了更多的澄清说明,使得标准的要求更清晰、更易读。

在PCIDSS技术要求部分,PCIDSS仍是6大类12个要求章节。但在要求点的格式、要求点的组织结构以及章节的措辞等方面,呈现的思路更清晰,更易理解。

1.2.2.1要求点的格式变化

对比于v3.2.1,v4.0在具体要求点的呈现上,更清晰、更易读。主要体现在:

第一列添加了定制方法目标(customized approach objective),以用于开发定制化验证的需要。

第一列添加了适用性说明(applicability notes),阐述对应要求的适用性情况。

第三列的指南(guidance)使用了更清晰的思路,按目的(purpose)、良好做法(good practice)、定义(definition)、示例(examples)、更多信息(further information)的格式进行呈现。

图2:要求点的格式说明

1.2.2.2要求点的组织结构

由v3.2.1在每个大的要求点的最后一部分(如要求1最后的要求1.5)提出安全策略与流程的要求,转变为在每个大的要求的第一个要求提出安全策略与流程的要求。

1.2.2.3各章节的主题

整体使得各章节更易读,更符合各章节具体要求的主题。比如:

要求1针对防火墙的要求,变为针对网络安全控制,以适用于更广泛的网络访问控制措施。

要求2从禁止厂商默认设置(“vendor defaults”)调整为对所有的系统组件应用安全设置。

要求3从对持卡人数据的保护,调整为对账户数据的保护。

要求4进一步强调对公网传输“强加密”的使用。

要求5明确防止恶意软件也适用于网络设备。

要求6从“开发和维护安全的系统与应用”调整为“开发和维护安全的系统与软件”,强调对软件的维护。

要求7从“限制对持卡人数据的访问到业务必须”调整为“限制对持卡人数据和系统组件的访问到业务必须”。

要求10措辞从“追踪和监控所有对网络资源和持卡人数据的访问”到“记录和监控所有对系统组件和持卡人数据的访问”。

要求11措辞从“定期测试系统和流程的安全性”变为“定期测试系统和网络的安全性”。

1.2.3更严格的控制要求点

除了措辞和描述上进行了更新的要求点,新版本在v3.2.1版本263个要求点的基础上增加了64项要求,新版本的要求点增至327个。整体来看,在要求3持卡人数据存储保护、要求5恶意软件防护、要求11扫描与修复管理、要求12合规范围维护等方面均提出了新的或更高要求。比较显著的变化如下:

  • 要求3.3.2:对授权完成前所存储的敏感认证数据进行强加密保护。

  • 要求3.5.1.1:在使用到哈希对持卡人数据进行保护时,需要引入密钥及其安全管理。

  • 要求5.3.3:对可移动介质的防恶意软件要求。

  • 要求5.4.1:增加了对钓鱼攻击的防护要求。

  • 要求6.4.3:对支付页面的保护要求。

  • 要求11.3.1.2:使用认证登录的方法执行内部漏洞扫描。

  • 要求11.3.2.1:CVSS4.0及以上的外部漏洞扫描的漏洞必须进行修复。

  • 要求12.3.3、12.3.4、12.5.2: 对所使用的加密套件、硬软件技术、PCI DSS合规范围进行维护。

  • 要求A1.1.1和A1.1.4:实施多租户供应商环境与客户环境的逻辑分离,并通过渗透测试的方法确认逻辑分离的有效性。

对于增加的64个要求点,有53项针对所有的合规机构,另外11项仅针对服务供应商。

新增加的要求点中,有13项新要求在v4.0发布后(2022年6月起)立即生效,这些主要是围绕各要求章节的角色定义及分配的要求。尽管另外的51项要求将在2025年3月31日变为强制要求,但atsec仍建议合规机构尽早了解和落实新要求所对应的技术措施与流程,以便更平缓地完成新版本的转换工作。具体的64项新要求,请参见本系列的“PCI DSS v4.0新要求点统计”或者“PCI DSS v3.2.1版本至v4.0版本的变更摘要”第六章节。

atsec
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
atsec增加Swift CSP评估资质
08-06 232
atsec信息安全评估员现已被Swift列为Swift客户安全计划(CSP:Customer Security Programme)认证评估员目录中的评估提供商,可以帮助全球金融机构评估其针对CSP强制性和咨询性控制的合规级别。在金融行业,Swift要求使用其消息平台的金融机构接受独立评估提供商的评估,以加强围绕其金融消息服务的安全生态系统。
博客
Guiding the Way through the World of Cyber Security
08-06 487
It is atsec’s firm belief that effective security assurance can only truly be accomplished when the product developers proactively incorporate security requirements they thoroughly understand.
博客
First SP800-140Br1 Compliant FIPS 140-3 Certificates
07-15 707
​On July 11th, 2024, the first three FIPS 140-3 certificates forNIST’s SP800-140Br1pilot program were posted on the NIST website. atsec information security was one of the labs that took part in the pilot program.
博客
Changes Coming to NIAP Entropy Assessment Reports in 2025
06-17 493
Recently, NIAP announced that Entropy Assessment Reports (EARs) must include a NIST Entropy Source Validation (ESV) certificate starting at the turn of the year on January 1st, 2025.
博客
支付卡产业最新发布PCI DSS v4.0.1
06-13 496
自2022年3月PCI DSS v4.0发布以来,受到全球支付产业高度关注,为了解决来自所有产业相关者的反馈和问题,PCI安全标准委员会(PCI SSC)发布了该标准的修订版PCI DSS v4.0.1。其中包括对格式和印刷错误的更正,也澄清了一些要求和指南的重点和意图。本修订版中没有附加或删除的要求内容。
博客
BSI NESAS CCS-GI Scheme Updates
06-11 865
We'd like to inform our customers and partners that the German Federal Office for Information Security (BSI) recently published new documents approving the use of additional Security Assurance Specifications (SCAS).
博客
EUCC and Cybersecurity Certification in Europe
04-24 579
​The European Union Agency for Cybersecurity (ENISA) hosted acybersecurity certification conferenceon April 18, 2024, in Brussels, Belgium. The conference very much focused on the implementation of the EUCC - European Cybersecurity Certification Scheme.
博客
atsec Adds FIDO Evaluation Qualification
04-11 502
atsec information security (branded as “atsec”) has been qualified by the FIDO Alliance as one of the FIDO Accredited Security Laboratories to evaluate the authenticator products.
博客
atsec AB first IEEE 2621 Accredited Medical Device Testing Facility
04-08 533
atsec AB Stockholm, Sweden is thrilled to announce: We are the first IEEE Authorized Testing Facility!
博客
BREAKING NEWS: c@tsec information security Unveils Revolutionary Quantum Computer
04-01 866
April 1, 2024 – Austin, TX: In a groundbreaking announcement today, c@tsec information security, a subsidiary of atsec information security, and the leader in quantum computing technology, proudly unveils its latest innovation: the Quantum PurrProcessor™.
博客
XDRGB - Random Bit Generator using any XOF
03-28 380
Resulting from a joint collaboration between John Kelsey (NIST), Stefan Lucks (Bauhaus-Universität Weimar, Germany) and Stephan Müller (atsec information security), a new deterministic random bit generator (DRBG) is published.
博客
PCI产业概述和产业发展动态分享
03-25 678
我们是从商户购买商品或服务的“支付卡的持卡人”,商户向收单机构发送支付交易数据,收单机构通过卡组织的支付网络向发卡机构发送支付业务数据。发卡机构是实际向持卡人发卡的机构,持卡人执行支付交易时,发卡机构都会向商户的收单银行提供交易授权或拒绝。收单机构和发卡机构需要交换支付信息来完成交易的过程称为“清算”(Clearing)。商户银行(收单机构)为持卡人的购买向商户付款以及持卡人的银行(发卡机构)向持卡人开具账单的过程称为“结算”(Settlement)。
博客
PCI DSS针对恶意脚本防范的新要求及其方案探讨
03-19 1588
2022年3月,支付卡行业安全标准委员会(PCI SSC)公布了PCI DSS v4.0版本。新的PCI DSS版本中引入了有关恶意脚本防范的新要求,特别是条款6.4.3和条款11.6.1。本文旨在探讨条款6.4.3和11.6.1的具体技术要求、对信息安全的影响以及如何实施其安全方案以满足这两项新要求。
博客
Happy Pi Day
03-14 415
To All our Math lover colleagues, Happy Pi Day.
博客
Crypto Module Bootcamp 2024
03-11 859
On Tuesday, February 27, 2024, atsec information security hosted a free day-long hybrid event on the Concordia University campus in Austin, TX.
博客
PCI PIN标准相关截止时间的解读以及近期重要信息分享
03-05 1869
众所周知,PIN(个人识别码)数据用于在终端发出的授权请求中对持卡人进行身份验证。PIN仅由十进制数字组成。PIN码也经常被大家俗称为信用卡的密码。因此,PIN码属于机密性最高的支付认证数据。PCI标委会针对PIN数据保护专门出台了用于保护PIN数据以及相关密钥数据的安全标准 “PCI PIN安全要求和测试程序。本文重点对PCI PIN标准提及的一些安全要求点的截止时间进行了解读,并介绍了近两年来产业内关于PCI PIN标准的一些重要信息。
博客
来自atsec的节日祝福!
12-21 458
全体atsec团队祝福我们的同事、客户、合作伙伴以及供应商圣诞快乐,新年快乐。
博客
A FIPS 140-3 compliant hybrid KEM algorithm
12-06 1573
In addition to the sole use of Kyber KEM, a hybrid mechanism using X25519 can be devised that acts as a drop-in replacement for Kyber KEM.
博客
PQC: Kyber and Dilithium - State of the (Draft) Standards
11-21 183
On November 15 2023 NIST announced that the three algorithms will be available for testing at the ACVP Demo service.
博客
atsec at the PCI Community Meeting 2023
11-17 130
atsec participated in the PCI (Payment Card Industry) Security Standards Council 2023 Asia-Pacific Community Meeting held in Kuala Lumpur, Malaysia, on 15 and 16 November and hosted a booth.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值