支付卡产业最新发布PCI DSS v4.0.1

20223PCI DSS v4.0发布以来,受到全球支付产业高度关注,为了解决来自所有产业相关者的反馈和问题,PCI安全标准委员会(PCI SSC)发布了该标准的修订版PCI DSS v4.0.1。其中包括对格式和印刷错误的更正,也澄清了一些要求和指南的重点和意图。本修订版中没有附加或删除的要求内容。

为了确保变更、澄清和额外的指导能够有效地支持产业采用PCI DSS v4PCI SSC顾问委员会(BoABoard of Advisors)、全球执行评估员圆桌会议(GEARGlobal Executive Assessor Roundtable)和主要参与机构(Principal Participating Organizations)(通过技术指导小组)被邀请在202312月至20241月的征求意见(RFC: Request for Comments)期间审查变更提议,并提供反馈。

有关更改的完整描述,请参阅PCI DSS v4.0v4.0.1版本的更改摘要,该摘要现已在PCI SSC文档库(PCI SSC Document Library)中提供。本次更新中所做的一些更改包括:

Requirement 要求3

  • Clarified Applicability Notes for issuers and companies that support issuing services.
    针对发卡机构和支持发卡服务的公司明确的适用性说明。
     
  • Added a Customized Approach Objective and clarified applicability for organizations using keyed cryptographic hashes to render Primary Account Numbers (PAN) unreadable. 
    增加了自定义方法目标,并阐明了使用带密钥的强加密哈希算法使主账号(PAN)不可读取的机构的适用性。

Requirement要求6

  • Reverted to PCI DSS v3.2.1 language that installing patches/updates within 30 days applies only for “critical vulnerabilities.”
    恢复到PCI DSS v3.2.1语言,即在30天内安装修补程序/更新仅适用于“重要漏洞”。
     
  • Added Applicability Notes to clarify how the requirement for managing payment page scripts applies. 
    添加了适用性说明,以澄清针对管理支付页面脚本的要求如何适用。

Requirement要求8

  • Added an Applicability Note that multi-factor authentication for all (non-administrative) access into the CDE does not apply to user accounts that are only authenticated with phishing-resistant authentication factors. 
    添加了一个适用性说明,即对CDE的所有(非管理)访问的多因素身份验证不适用于仅使用防钓鱼身份验证因素进行身份验证的用户帐户。

Requirement要求12

  • Updated Applicability Notes to clarify several points about relationships between customers and third-party service providers (TPSPs). 
    更新了适用性说明,以澄清有关客户和第三方服务提供商(TPSP)之间关系的几点说明。

Appendices附录

  • Removed Customized Approach sample templates from Appendix E and referred to the sample templates that are available on the PCI SSC website.
    从附录E中删除了定制方法样本模板,并参考了PCI SSC网站上的样本模板。
     
  • Added definitions for “Legal Exception,” "Phishing Resistant Authentication," and “Visitor” to Appendix G. 
    在附录G中增加了“法律例外”、“抗网络钓鱼认证”和“访问者”的定义。

PCI DSS v4.0.1常见问题解答

  • PCI DSS v4.0何时退休?

与所有新版本的PCI DSS一样,在一段时间内,当前版本和更新版本将同时处于活动状态。PCI DSS v4.0将于20241231日退休。在此之后,PCI DSS v4.0.1将成为PCI SSC支持的唯一当前版本。

  • PCI DSS v4.0.1是否更改了新要求的2025331日生效日期?

否。目前有限的修订不会影响这些新要求的生效日期。

  • PCI DSS v4.0.1中是否有任何新要求?

否。由于这是一个有限的修订,没有新的或删除的要求。有关完整详细信息,请参阅PCI DSS v4.0v4.0.1的变更摘要。

  • PCI DSS v4.0.1 合规报告(ROC)和合规证明(AOC)以及自我评估问卷(SAQ)的模板何时发布?

PCI DSS v4.0.1的合规性报告(ROC)和合规证明(AOC)以及自我评估问卷(SAQ)的模板将于2024年第三季度发布,随后不久将发布更新的PCI DSS支持文件,如优先方法工具。

如果需要更多信息了解PCI DSS v4.0.1和从PCI DSS v4.0v4.0.1的变更摘要,可在PCI SSC文档库中找到。也随时欢迎联系atsec信息安全获取更多资讯。

atsec作为GEAR成员之一积极参与标准更新制定和反馈,为PCI DSS标准发展做出了贡献,同时atsec也作为产业机构的桥梁,通过合适的方式进行信息的及时分享,从而促进了产业的积极交流。atsec期待着合规评估领域在评估工作高质量发展的同时,更加提高审核的效率且精简相关的流程和方法。

关于艾特赛克(atsec)信息安全

atsec information security是一家独立且基于标准的信息技术(ITInformation Technology)安全咨询、评估和测评服务公司,它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec2000年成立于德国,目前通过欧洲、美国和亚洲的分支机构,广泛的面向世界范围商业和政府的诸多领域。我们的同事是不同技术领域的专家,包括操作系统、数据库、网络设备、嵌入式系统等等。

我们的实验室根据不同的标准开展商业产品和系统的评估和测试,包括Common CriteriaFIPS 140-3O-TTPSPCIISO/IEC 27001NESAS,从而确保用户的安全性。我们针对不同规模的客户成功完成了诸多的脆弱性评估、密码测试、安全审计,以及独立的评估,涉及电信、金融和能源等不同行业。

支付卡产业(PCI: Payment Card Industry),atsec提供不同安全评估体系和标准领域的完整服务。atsec经过PCI安全标准委员会(SSC: Security Standards Council)授权认可的安全评估资质包括PCI数据安全标准(PCI DSS: PCI Data Security Standard)合格的安全性评估机构(QSA: Qualified Security Assessor)、授权的扫描服务商(ASV: Approved Scanning Vendor)、PCI点对点加密(P2PEPOINT-TO-POINT ENCRYPTION)评估机构、PCI 3DS评估机构、合格的PIN评估机构(QPAQualified PIN Assessor)、PCI软件安全框架(SSFSoftware Security Framework)安全软件(Secure Software和安全软件生命周期(SLCSecure Software Lifecycle)评估机构、卡生产安全评估机构(CPSACard Production Security Assessor)(面向物理和逻辑安全要求两个独立的标准),以及取证调研机构(PFIPCI Forensic Investigators)。此外,atsec提供PCI合规相关支持服务,包括但不限于体系文档和整改咨询、渗透测试、风险评估等。

atsec是产业的领导者和贡献者,我们是年度国际密码会议(ICMC)的成立者。atsec积极贡献于不同的标准化组织,包括Common CriteriaISOGSMAPCI GEAR,以及欧盟安全法令工作组等。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/704558.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

顶顶通呼叫中心中间件-限制最大通话时间(mod_cti基于FreeSWITCH)

顶顶通呼叫中心中间件-限制最大通话时间(mod_cti基于FreeSWITCH) 一、最大通话时间 1、配置拨号方案 1、点击拨号方案 ->2、在框中输入通话最大时长->3、点击添加->4、根据图中配置->5、勾选continue。修改拨号方案需要等待一分钟即可生效 action"sched…

基于Pytorch实现AI写藏头诗

网上你找了一圈发现开源的代码不是付费订阅就是代码有问题,基于Pytorch实现AI写藏头诗看我这篇就够了。 用到的工具:华为云ModelArts平台的notebook/Pycharm/Vscode都行。 镜像:pytorch1.8-cuda10.2-cudnn7-ubuntu18.04,有GPU优先使用GPU资源。 实验背景 在短时测试使用场…

变电站SF6-O2在线监控报警系统在电力行业的创新应用

一、六氟化硫是什么? 六氟化硫又称为SF6,这种气体在常温常压下为无色无臭无毒的气体。不燃烧。对热稳定,没有腐蚀性,可以作为通用材料。电绝缘性能和消弧性能好,绝缘性能为空气的2~3倍,而且气体…

外网如何访问公司内网服务器?

在现代商业环境中,随着信息技术的快速发展,越来越多的公司有需求让远程用户在外网环境下访问公司内网服务器。这在很大程度上提高了远程办公的灵活性和效率。由于安全和网络限制等问题,实现这一目标并不是一件容易的事情。 在处理这个问题时…

【Qt 学习笔记】Qt窗口 | 对话框 | 创建自定义对话框

博客主页:Duck Bro 博客主页系列专栏:Qt 专栏关注博主,后期持续更新系列文章如果有错误感谢请大家批评指出,及时修改感谢大家点赞👍收藏⭐评论✍ Qt窗口 | 对话框 | 创建自定义对话框 文章编号:Qt 学习笔记…

[人工智能]啥是大模型?一篇文章看懂火遍全网的“AI大模型”

美国商业科技界正在升起两位“新神”。 一位是“钢铁侠”埃隆马斯克,“带领人类走向火星”; 一位是“奥特曼”山姆阿尔特曼,“带领AI走向人类”。 大多数人对马斯克很熟悉了,特斯拉汽车在中国道路上疾驰,朋友圈也经…

B端系统的颜值问题:成也框架,败也框架!

B端UI框架和前端框架的出现,让系统的搭建就像堆积木一样,十分的容易了。这也一下子把程序员的设计和审美水平拔高到了UI框架能够达到的高度。伴随而来的则是系统的堆砌、同质化、糟糕的体验,以及各种违和的组件被生搬硬套的绑定在一块&#x…

LabVIEW故障预测

在LabVIEW故障预测中,振动信号特征提取的关键技术主要包括以下几个方面: 时域特征提取:时域特征是直接从振动信号的时间序列中提取的特征。常见的时域特征包括振动信号的均值、方差、峰值、峰-峰值、均方根、脉冲指数等。这些特征能够反映振动…

电信数字员工“上岗”!重庆电信携手实在智能加快“数智化”转型

中国电信股份有限公司重庆分公司(以下简称重庆电信)与实在智能已达成合作,由实在智能为其建设RPA数字员工,首批已覆盖数十个业务场景,大幅提升相应业务自动化和智能化水平。深度适配电信业务运转的RPA数字员工&#xf…

JVM原理之运行时数据区域

Java运行时数据区(Runtime Data Area)是Java虚拟机(JVM)在运行Java程序时内部维护的一系列数据区域。这些区域共同协作,确保Java程序能够高效、稳定地运行。本文将详细介绍Java运行时数据区的结构和作用。 java虚拟机运行时数据区域 根据《Java虚拟机规范》规定,jvm内存…

【Java笔记】第11章:内部类

前言1. 讲解结语 上期回顾:【Java笔记】第10章:接口 个人主页:C_GUIQU 归属专栏:【Java学习】 前言 各位小伙伴大家好!上期小编给大家讲解了Java中的接口,接下来讲讲Java中的内部类! 1. 讲解 Java中的内…

通用大模型VS垂直大模型,相辅相成!

1.通用大模型: 如OpenAI的GPT系列、Google的PaLM等,因其广泛的训练数据来源和强大的泛化能力,展现出在多种任务和场景中的应用潜力。它们能够处理从文本生成、代码编写到语言翻译等多种复杂任务,适应性强,减少了针对单…

一文读懂Web Codecs API:浏览器背后的媒体魔术师

引言 ​在早期的Web 网页中,视频播放通常要依靠 Flash 和 Silverlight 等插件来完成,浏览器是不支持直接播放视频的。 随着网络技术的发展,视频这种媒体方式的需求变得普遍,HTML5中,出现了一个新的元素Video&#xf…

可积分兑换收银的会员卡小程序源码系统 带完整的安装代码包+搭建部署教程

系统概述 本会员卡小程序源码系统基于主流的前后端分离架构设计,前端采用Vue.js框架开发,后端服务则通过Node.js实现,数据库选用MySQL存储会员数据和交易记录。这样的技术栈确保了系统的高性能、易维护性和良好的扩展性。 代码示例 系统特色…

Win10 打开默认共享,提示 “拒绝访问“ 解决方法

1、打开计算机管理,默认共享C盘是开启的,如下图 2、但是想要能打开,防火墙还需要开启445端口 3、此时我们可以通过如下方式进行访问 4、输入账号密码后提示 "拒绝访问" 5、解决方法: (1)打开注…

【车载AI音视频电脑】智能驾驶监控系统,校车/警车/货车/油罐车AI分析与监控方案

校车监控方案 实时视频监控、校车位置查询、视频回放、轨迹回放。 2、 预设校车行驶线路,如有偏离,产生报警。 3、 预设校车车速,如超速,产生报警。 4、 预设学生下车,抓拍图片上传监管中心、预防小孩被困车内。 5…

【MySQL】性能分析

https://www.bilibili.com/video/BV1Kr4y1i7ru/?p78 查看执行频次 查看当前数据库的 INSERT, UPDATE, DELETE, SELECT 访问频次: SHOW GLOBAL STATUS LIKE Com_______; 或者 SHOW SESSION STATUS LIKE Com_______; 慢查询日志 慢查询日志记录了所有执行时间超过指…

git下载项目登录账号或密码填写错误不弹出登录框

错误描述 登录账号或密码填写错误不弹出登录框 二、解决办法 控制面板\用户帐户\凭据管理器 找到对应的登录地址进行更新或者删除 再次拉取或者更新就会提示输入登录信息

Apple Intelligence模型细节

介绍苹果的设备端和服务器基础模型 在2024年全球开发者大会(WWDC)上,苹果推出了Apple Intelligence,这是一个深度集成到iOS 18、iPadOS 18和macOS Sequoia中的个人智能系统,并公布相关技术细节,整理关键点…

【实例分享】访问后端服务超时,银河麒麟服务器操作系统分析及处理建议

1.服务器环境以及配置 【机型】 处理器: Intel 32核 内存: 128G 整机类型/架构: x86_64虚拟机 【内核版本】 4.19.90-25.22.v2101.kylin.x86_64 【OS镜像版本】 kylin server V10 SP2 【第三方软件】 开阳k8s 2.问题现象描述 …