在不到一年的时间里，越来越多的企业将被要求遵守支付卡行业数据安全标准 (PCI DSS) 4.0 版的新要求。

关于 PCI DSS

PCI DSS 包含保护支付卡数据的 12 项要求，并且在过去十年中没有更新。但经过三年的审议，重大改革现已完成。

最新版本4.0于2022年3月发布，目前与3.2.1版本共存。它有 63 项变更，其中 13 项是 2024 年 4 月 3.2.1 版本停用时强制执行的，企业需要在 2025 年 3 月之前完成所有变更。

根据《2022年支付安全报告》，V4.0更强调建立流程作为企业正常文化的一部分，而不是旨在通过年度评估。但新要求在实践中意味着什么？企业如何开始转型？

企业适应新要求

PCI DSS 4.0有四大变化：

首先，网络安全控制的防火墙术语已更新，以支持更广泛的技术，用于满足防火墙传统上满足的安全目标。

这反映了从传统的基于服务器和参数化的网络向分布式架构的转变，例如云和无服务器技术以及零信任网络架构（ZTNA），并且还看到标准需要适应新的特定于环境的控制机制以支持例如移动设备和物联网的支付。也就是说，标准的更新侧重于满足支付行业不断变化的安全需求，促进安全作为一个持续的过程，提高组织使用不同方法实现安全目标的灵活性，并增强验证方法和程序。

其次，扩展要求 8，为持卡人数据环境的所有访问启用多重身份验证 (MFA)

如果没有额外的身份验证因素，基本上不可能访问系统组件，因为所有帐户都必须启用 MFA，而不仅仅是那些管理帐户。 NIST 数字身份指南中概述的密码指南今天也适用。密码长度必须至少为 12 个字符，必须满足最低复杂性级别，并且必须每年更改一次以防止密码泄露。此外，组织必须记录和审查他们在持卡人数据环境中使用的密码套件和协议。

这些身份验证和访问步骤都指向朝着零信任概念发展的标准，其中网络按照“从不信任，始终验证”的原则运行。在ZTNA中，每个访问请求都被视为潜在的恶意请求，因此需要身份验证、授权和持续验证，这意味着MFA等保护机制将成为标准。

第三，提高企业的灵活性，以展示如何使用不同的方法来实现企业安全目标

企业现在可以使用“定义”或“定制”方法，或两者​​的组合来适应其环境。他们可以拆分需求条款，以便在满足需求的情况下，某些需求可以通过定义的方法实现安全目标，而其他需求也可以通过定制的方法实现安全目标。

虽然定制方法不能满足所有需求，但它确实为企业提供了更大的灵活性和自主权。虽然一些公司以前不得不使用补偿性控制并证明其合理性，但这种方法现在可能更有用。定制方法有效地取代了补偿性控制，这是一种进步，因为这些控制通常被认为是短期解决方案。选择定制方法的企业将需要合格的安全评估员 (QSA) 来签署其控制措施的可持续性。

企业主要使用定义的方法，并且这种情况可能会持续下去，因为很少有人能够投入时间和资源来设计定制控件。虽然使用明确方法的公司之前强调，无论控制结果如何，他们的控制系统都是有效和可持续的，但现在这种情况已经逆转，更加重视控制结果。

以前，如果他们采取了必要的措施，即使结果不令人满意，企业也会被认为是安全的。现在，这一切在 4.0 下都发生了变化，现在企业可以使用标准中指定之外的不同安全方法，前提是企业能够证明该方法满足安全意图并解决与需求相关的风险。通过这种方式，安全流程变得更加注重结果。

第四，添加有针对性的风险分析，使企业能够灵活地定义执行某些活动的频率，以满足其业务需求和风险敞口。

例如，如果企业可以动态分析其帐户的安全状况，并且现在可以构建自己的身份验证机制，那么只要合规，就不再需要每 90 天更改一次密码或密码短语。

当涉及到适用于服务提供商的要求和适用于商家的要求时，也存在一些交叉。

服务提供商现在还必须遵守有关加密、密码管理、多租户提供商的外部渗透的特定控制，并被迫使用入侵检测/预防 (IDS/IPS) 系统。他们必须每六个月重新评估这些系统，在重大企业变更后进行审查，并满足客户对信息的要求，以满足维护监控服务提供商合规性的计划的要求。

相反，以前仅适用于服务提供商的法规现在已扩展到包括商家，这要求对关键安全控制的任何故障做出及时响应。所有组织都必须制定事件响应程序来处理 PAN 违规检测。

企业如何转型

由于需要考虑如此多的变化，企业现在必须开始解决合规问题，进行差距评估以确定不合规的地方。然后，确定使用以下三种方法之一是否符合您的组织的利益：定义的方法、定制的方法或混合方法。

当然，这在很大程度上取决于企业可支配的时间和资源，还取决于其安全复杂程度，因为在采用定制方法时，需要进行更多评估来确定已取得成果且控制措施是可持续的。

支付卡行业安全标准委员会 (PCI SSC) 制定了可能有效的“优先方法”的更新指南。最初旨在解决最高风险问题，使用六个里程碑可以有效地确定应首先更改哪些需求。

关于新要求，企业应根据他们认为实现合规性所需的时间确定变更的优先顺序。因此，重点关注加密（3.3.2和3.3.3）、保护人们免受网络钓鱼攻击（5.4.1）、客户浏览器中支付脚本的管理（6.4.3）、密码长度（8.3.6）和90的每日密码刷新率（8.3.10.1）值得优先关注。

要求11还包含一些新内容，例如带有认证的内部漏洞扫描（11.3.1.2）、对多租户服务提供商的外部渗透测试支持（11.4.7）以及IDS/IPS技术（11.5.1.1）。此外，还包括检测面向客户端的 HTTP 标头和支付页面的更改的机制 (11.6.1)。同样，要求 12 要求至少每年或在发生任何重大变化时进行有针对性的风险评估 (12.3) 并记录。确认 PCI DSS 范围 (12.5.2)。

该报告（如上所述）还揭示了企业在2020年遇到的前20大控制差距，这也应该有助于指导工作和分配资源。排名前四的差距都与要求 11 相关，其中涉及检查和实施渗透测试变更、每季度运行内部和外部扫描、审查和解决内部漏洞扫描以及检查防火墙和路由器配置。因此，这些领域也可能值得优先考虑。

将 PCI DSS 集成到日常业务中

所有变更都可能要求很高，并且需要大量的项目管理，因此现在企业有必要逐月计划这些变更以实现最终目标。今天实施合规安全控制将使企业能够经历一个评估周期，通过向内部安全评估员 (ISA) 和 QSA 提交控制设计来有效实践合规性，然后获得合规性报告 (ROC)，如果通过，则获得证明符合性 (AOC)。

重要的是，PCI DSS v4.0 进一步强调合规性是一个持续的过程，需要持续的监控和评估。它力求使这些流程不再由合规性驱动，而是照常进行并嵌入到企业的日常流程中。

正如报告所示，企业仍然没有日常管理 PCI DSS，因此需要从文化和技术角度满足 v4.0 要求。也许这标志着与原始标准的最大背离：需要一种新的思维方式，重点关注数据安全，而不仅仅是以合规为导向。

来源