企业动态

当前位置:首页 - 企业动态 - 企业新闻

PCI DSS升级至V4.0|快来看看有哪些新变化→

发布日期:2022-06-08


近期,支付卡行业安全标准委员会(PCI SSC: Payment Card Industry Security Standards Council)正式发布PCI数据安全标准(DSS: Payment Card Industry Data Security Standard)最新版本v4.0。PCI DSS v4.0已于2022年3月31日正式发布,并给予各参与方2年时间从旧版本迁移至v4.0标准,将于2024年3月31日正式替换之前的v3.2.1版本。



什么是 PCI DSS?

PCI安全标准委员会(Payment Card Industry Security Standards Council,简称PCI SSC)是国际银行卡支付安全领域的权威标准组织,制定全方面保护持卡人数据的PCI标准以及相关检测认证项目。PCI标准体系包含围绕系统及环境、POS机具、支付软件、手机POS解决方案、PIN传输、3DS核心及SDK、卡片生产环境等方面的多部安全标准。PCI DSS为PCI标准中最核心的标准之一。

图片

PCI DSS适用于所有存储、处理、传输持卡人数据与/或敏感验证数据或可能影响持卡人数据环境安全的实体,包括商户、收单、发卡、服务提供商等机构。

DSS合规要求:由卡组织、收单机构等安全合规项目的要求决定机构是否需要DSS合规审查或如何使用DSS标准确保安全性。

PCI DSS v4.0版本的更新依据全球200多家参与机构提交的反馈以及支付受理方式变化引发的数据泄露情况报告等数据做出,旨在通过有效的标准确保支付数据在日益复杂的网络攻击下的安全。

详细内容可查看PCI SSC官网:"https://www.pcisecuritystandards.org/"


PCI DSS v4.0版本有哪些变化?
01
依据支付行业发展情况,持续更新安全要求,比如:

  • 扩展MFA(多因素认证)要求

  • 更新密码要求

  • 应对新威胁,增加电商和网络钓鱼新要求

02
作为一个持续的过程不断完善安全,比如:

  • 明确分配每个要求的角色和职责

  • 增加指南,帮助各参与方更好地了解如何落实、维持安全

  • 新的报告选项,突出需要改进的领域,给报告审阅者以更高的透明度

03
使用不同的方法提高组织的灵活性以便实现安全目标,比如:

  • 体谅(allowance)集团/共享/通用账户情况

  • “目标风险分析”使组织能够确定执行某些活动的频率

  • 定制方法(customized approach)是一种实现和验证PCI DSS要求的新方法,为使用创新方法实现安全目标的组织提供了另一种选择

04
加强验证方法和程序,比如:

  • ROC或SAQ中报告的信息与AOC中总结的信息更加一致



PCI DSS v4.0版本实施时间?

图片

PCI DSS v3.2.1将在v4.0正式发布后保持有效2年。从2022年3月到2024年3月31日的过渡期为组织提供了熟悉v4.0变化的时间。在过渡期,v3.2.1及v4.0将同时生效,机构在2025年3月31日前可逐步落实“最佳实践”。

截至2024年3月31日,PCI DSS v3.2.1将废止,v4.0将成为标准的唯一有效版本。

PCI DSS v4.0标准、变更总结、合规报告(ROC)和合规证明(AOC)模板已于2022年3月底发布,随后将发布自评估问卷(SAQ)。

2022年3月至6月之间将发布翻译成其他语言的版本(中文将在第一批发布)。

PCI SSC计划于2022年6月,为QSA和ISA提供培训,以支持PCI DSS v4.0进行评估。此外,还计划在6月底前完成其他支持文件的发布工作。



国家金融科技测评中心(银行卡检测中心)能帮您做什么?

国家金融科技测评中心(银行卡检测中心,简称“中心”)作为全球金融安全组织PCI授权的评估机构(QSA)、授权扫描服务提供商(ASV)、中国银联授权的UPDSS数据安全评估机构,在数据安全评估方面积累了丰富经验,可为金融机构、非银行支付机构、商户提供金融数据治理咨询、金融信息安全审计等相关服务,帮助其更好的符合国内外的金融数据安全管理要求。

近年来,中心不断加强服务能力建设,积极完善PCI授权检测服务体系,可为产业相关方提供收单侧PCI QPA、PCI SPoC、PCI CPoC、PCI PTS 6.X,发卡侧PCI CPSA,数据安全PCI QSA、PCI ASV、PCI SSF等“一站式、全方位”的国际认证检测服务。


上一篇:无 下一篇:中国银联金融数字化服务终端操作系统技术规范专项检测首款产品通过检测