自2022年3月PCI DSS v4.0发布以来,受到全球支付产业高度关注,为了解决来自所有产业相关者的反馈和问题,PCI安全标准委员会(PCI SSC)发布了该标准的修订版PCI DSS v4.0.1。其中包括对格式和印刷错误的更正,也澄清了一些要求和指南的重点和意图。本修订版中没有附加或删除的要求内容。
为了确保变更、澄清和额外的指导能够有效地支持产业采用PCI DSS v4,PCI SSC顾问委员会(BoA:Board of Advisors)、全球执行评估员圆桌会议(GEAR:Global Executive Assessor Roundtable)和主要参与机构(Principal Participating Organizations)(通过技术指导小组)被邀请在2023年12月至2024年1月的征求意见(RFC: Request for Comments)期间审查变更提议,并提供反馈。
有关更改的完整描述,请参阅PCI DSS v4.0至v4.0.1版本的更改摘要,该摘要现已在PCI SSC文档库(PCI SSC Document Library)中提供。本次更新中所做的一些更改包括:
Requirement 要求3
- Clarified Applicability Notes for issuers and companies that support issuing services.
针对发卡机构和支持发卡服务的公司明确的适用性说明。
- Added a Customized Approach Objective and clarified applicability for organizations using keyed cryptographic hashes to render Primary Account Numbers (PAN) unreadable.
增加了自定义方法目标,并阐明了使用带密钥的强加密哈希算法使主账号(PAN)不可读取的机构的适用性。
Requirement要求6
- Reverted to PCI DSS v3.2.1 language that installing patches/updates within 30 days applies only for “critical vulnerabilities.”
恢复到PCI DSS v3.2.1语言,即在30天内安装修补程序/更新仅适用于“重要漏洞”。
- Added Applicability Notes to clarify how the requirement for managing payment page scripts applies.
添加了适用性说明,以澄清针对管理支付页面脚本的要求如何适用。
Requirement要求8
- Added an Applicability Note that multi-factor authentication for all (non-administrative) access into the CDE does not apply to user accounts that are only authenticated with phishing-resistant authentication factors.
添加了一个适用性说明,即对CDE的所有(非管理)访问的多因素身份验证不适用于仅使用防钓鱼身份验证因素进行身份验证的用户帐户。
Requirement要求12
- Updated Applicability Notes to clarify several points about relationships between customers and third-party service providers (TPSPs).
更新了适用性说明,以澄清有关客户和第三方服务提供商(TPSP)之间关系的几点说明。
Appendices附录
- Removed Customized Approach sample templates from Appendix E and referred to the sample templates that are available on the PCI SSC website.
从附录E中删除了定制方法样本模板,并参考了PCI SSC网站上的样本模板。
- Added definitions for “Legal Exception,” "Phishing Resistant Authentication," and “Visitor” to Appendix G.
在附录G中增加了“法律例外”、“抗网络钓鱼认证”和“访问者”的定义。
PCI DSS v4.0.1常见问题解答
- PCI DSS v4.0何时退休?
与所有新版本的PCI DSS一样,在一段时间内,当前版本和更新版本将同时处于活动状态。PCI DSS v4.0将于2024年12月31日退休。在此之后,PCI DSS v4.0.1将成为PCI SSC支持的唯一当前版本。
- PCI DSS v4.0.1是否更改了新要求的2025年3月31日生效日期?
否。目前有限的修订不会影响这些新要求的生效日期。
- PCI DSS v4.0.1中是否有任何新要求?
否。由于这是一个有限的修订,没有新的或删除的要求。有关完整详细信息,请参阅PCI DSS v4.0到v4.0.1的变更摘要。
- PCI DSS v4.0.1 合规报告(ROC)和合规证明(AOC)以及自我评估问卷(SAQ)的模板何时发布?
PCI DSS v4.0.1的合规性报告(ROC)和合规证明(AOC)以及自我评估问卷(SAQ)的模板将于2024年第三季度发布,随后不久将发布更新的PCI DSS支持文件,如优先方法工具。
如果需要更多信息了解PCI DSS v4.0.1和从PCI DSS v4.0到v4.0.1的变更摘要,可在PCI SSC文档库中找到。也随时欢迎联系atsec信息安全获取更多资讯。
atsec作为GEAR成员之一积极参与标准更新制定和反馈,为PCI DSS标准发展做出了贡献,同时atsec也作为产业机构的桥梁,通过合适的方式进行信息的及时分享,从而促进了产业的积极交流。atsec期待着合规评估领域在评估工作高质量发展的同时,更加提高审核的效率且精简相关的流程和方法。
关于艾特赛克(atsec)信息安全
atsec information security是一家独立且基于标准的信息技术(IT:Information Technology)安全咨询、评估和测评服务公司,它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec于2000年成立于德国,目前通过欧洲、美国和亚洲的分支机构,广泛的面向世界范围商业和政府的诸多领域。我们的同事是不同技术领域的专家,包括操作系统、数据库、网络设备、嵌入式系统等等。
我们的实验室根据不同的标准开展商业产品和系统的评估和测试,包括Common Criteria、FIPS 140-3、O-TTPS、PCI、ISO/IEC 27001和NESAS,从而确保用户的安全性。我们针对不同规模的客户成功完成了诸多的脆弱性评估、密码测试、安全审计,以及独立的评估,涉及电信、金融和能源等不同行业。
支付卡产业(PCI: Payment Card Industry),atsec提供不同安全评估体系和标准领域的完整服务。atsec经过PCI安全标准委员会(SSC: Security Standards Council)授权认可的安全评估资质包括PCI数据安全标准(PCI DSS: PCI Data Security Standard)合格的安全性评估机构(QSA: Qualified Security Assessor)、授权的扫描服务商(ASV: Approved Scanning Vendor)、PCI点对点加密(P2PE:POINT-TO-POINT ENCRYPTION)评估机构、PCI 3DS评估机构、合格的PIN评估机构(QPA:Qualified PIN Assessor)、PCI软件安全框架(SSF:Software Security Framework)安全软件(Secure Software)和安全软件生命周期(SLC:Secure Software Lifecycle)评估机构、卡生产安全评估机构(CPSA:Card Production Security Assessor)(面向物理和逻辑安全要求两个独立的标准),以及取证调研机构(PFI:PCI Forensic Investigators)。此外,atsec提供PCI合规相关支持服务,包括但不限于体系文档和整改咨询、渗透测试、风险评估等。
atsec是产业的领导者和贡献者,我们是年度国际密码会议(ICMC)的成立者。atsec积极贡献于不同的标准化组织,包括Common Criteria、ISO、GSMA、PCI GEAR,以及欧盟安全法令工作组等。