支付卡产业最新发布PCI DSS v4.0.1

2024-06-13 11:28

本文主要是介绍支付卡产业最新发布PCI DSS v4.0.1,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

20223PCI DSS v4.0发布以来,受到全球支付产业高度关注,为了解决来自所有产业相关者的反馈和问题,PCI安全标准委员会(PCI SSC)发布了该标准的修订版PCI DSS v4.0.1。其中包括对格式和印刷错误的更正,也澄清了一些要求和指南的重点和意图。本修订版中没有附加或删除的要求内容。

为了确保变更、澄清和额外的指导能够有效地支持产业采用PCI DSS v4PCI SSC顾问委员会(BoABoard of Advisors)、全球执行评估员圆桌会议(GEARGlobal Executive Assessor Roundtable)和主要参与机构(Principal Participating Organizations)(通过技术指导小组)被邀请在202312月至20241月的征求意见(RFC: Request for Comments)期间审查变更提议,并提供反馈。

有关更改的完整描述,请参阅PCI DSS v4.0v4.0.1版本的更改摘要,该摘要现已在PCI SSC文档库(PCI SSC Document Library)中提供。本次更新中所做的一些更改包括:

Requirement 要求3

  • Clarified Applicability Notes for issuers and companies that support issuing services.
    针对发卡机构和支持发卡服务的公司明确的适用性说明。
     
  • Added a Customized Approach Objective and clarified applicability for organizations using keyed cryptographic hashes to render Primary Account Numbers (PAN) unreadable. 
    增加了自定义方法目标,并阐明了使用带密钥的强加密哈希算法使主账号(PAN)不可读取的机构的适用性。

Requirement要求6

  • Reverted to PCI DSS v3.2.1 language that installing patches/updates within 30 days applies only for “critical vulnerabilities.”
    恢复到PCI DSS v3.2.1语言,即在30天内安装修补程序/更新仅适用于“重要漏洞”。
     
  • Added Applicability Notes to clarify how the requirement for managing payment page scripts applies. 
    添加了适用性说明,以澄清针对管理支付页面脚本的要求如何适用。

Requirement要求8

  • Added an Applicability Note that multi-factor authentication for all (non-administrative) access into the CDE does not apply to user accounts that are only authenticated with phishing-resistant authentication factors. 
    添加了一个适用性说明,即对CDE的所有(非管理)访问的多因素身份验证不适用于仅使用防钓鱼身份验证因素进行身份验证的用户帐户。

Requirement要求12

  • Updated Applicability Notes to clarify several points about relationships between customers and third-party service providers (TPSPs). 
    更新了适用性说明,以澄清有关客户和第三方服务提供商(TPSP)之间关系的几点说明。

Appendices附录

  • Removed Customized Approach sample templates from Appendix E and referred to the sample templates that are available on the PCI SSC website.
    从附录E中删除了定制方法样本模板,并参考了PCI SSC网站上的样本模板。
     
  • Added definitions for “Legal Exception,” "Phishing Resistant Authentication," and “Visitor” to Appendix G. 
    在附录G中增加了“法律例外”、“抗网络钓鱼认证”和“访问者”的定义。

PCI DSS v4.0.1常见问题解答

  • PCI DSS v4.0何时退休?

与所有新版本的PCI DSS一样,在一段时间内,当前版本和更新版本将同时处于活动状态。PCI DSS v4.0将于20241231日退休。在此之后,PCI DSS v4.0.1将成为PCI SSC支持的唯一当前版本。

  • PCI DSS v4.0.1是否更改了新要求的2025331日生效日期?

否。目前有限的修订不会影响这些新要求的生效日期。

  • PCI DSS v4.0.1中是否有任何新要求?

否。由于这是一个有限的修订,没有新的或删除的要求。有关完整详细信息,请参阅PCI DSS v4.0v4.0.1的变更摘要。

  • PCI DSS v4.0.1 合规报告(ROC)和合规证明(AOC)以及自我评估问卷(SAQ)的模板何时发布?

PCI DSS v4.0.1的合规性报告(ROC)和合规证明(AOC)以及自我评估问卷(SAQ)的模板将于2024年第三季度发布,随后不久将发布更新的PCI DSS支持文件,如优先方法工具。

如果需要更多信息了解PCI DSS v4.0.1和从PCI DSS v4.0v4.0.1的变更摘要,可在PCI SSC文档库中找到。也随时欢迎联系atsec信息安全获取更多资讯。

atsec作为GEAR成员之一积极参与标准更新制定和反馈,为PCI DSS标准发展做出了贡献,同时atsec也作为产业机构的桥梁,通过合适的方式进行信息的及时分享,从而促进了产业的积极交流。atsec期待着合规评估领域在评估工作高质量发展的同时,更加提高审核的效率且精简相关的流程和方法。

关于艾特赛克(atsec)信息安全

atsec information security是一家独立且基于标准的信息技术(ITInformation Technology)安全咨询、评估和测评服务公司,它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec2000年成立于德国,目前通过欧洲、美国和亚洲的分支机构,广泛的面向世界范围商业和政府的诸多领域。我们的同事是不同技术领域的专家,包括操作系统、数据库、网络设备、嵌入式系统等等。

我们的实验室根据不同的标准开展商业产品和系统的评估和测试,包括Common CriteriaFIPS 140-3O-TTPSPCIISO/IEC 27001NESAS,从而确保用户的安全性。我们针对不同规模的客户成功完成了诸多的脆弱性评估、密码测试、安全审计,以及独立的评估,涉及电信、金融和能源等不同行业。

支付卡产业(PCI: Payment Card Industry),atsec提供不同安全评估体系和标准领域的完整服务。atsec经过PCI安全标准委员会(SSC: Security Standards Council)授权认可的安全评估资质包括PCI数据安全标准(PCI DSS: PCI Data Security Standard)合格的安全性评估机构(QSA: Qualified Security Assessor)、授权的扫描服务商(ASV: Approved Scanning Vendor)、PCI点对点加密(P2PEPOINT-TO-POINT ENCRYPTION)评估机构、PCI 3DS评估机构、合格的PIN评估机构(QPAQualified PIN Assessor)、PCI软件安全框架(SSFSoftware Security Framework)安全软件(Secure Software和安全软件生命周期(SLCSecure Software Lifecycle)评估机构、卡生产安全评估机构(CPSACard Production Security Assessor)(面向物理和逻辑安全要求两个独立的标准),以及取证调研机构(PFIPCI Forensic Investigators)。此外,atsec提供PCI合规相关支持服务,包括但不限于体系文档和整改咨询、渗透测试、风险评估等。

atsec是产业的领导者和贡献者,我们是年度国际密码会议(ICMC)的成立者。atsec积极贡献于不同的标准化组织,包括Common CriteriaISOGSMAPCI GEAR,以及欧盟安全法令工作组等。

这篇关于支付卡产业最新发布PCI DSS v4.0.1的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1057173

相关文章

跨国公司撤出在华研发中心的启示:中国IT产业的挑战与机遇

近日,IBM中国宣布撤出在华的两大研发中心,这一决定在IT行业引发了广泛的讨论和关注。跨国公司在华研发中心的撤出,不仅对众多IT从业者的职业发展带来了直接的冲击,也引发了人们对全球化背景下中国IT产业竞争力和未来发展方向的深思。面对这一突如其来的变化,我们应如何看待跨国公司的决策?中国IT人才又该如何应对?中国IT产业将何去何从?本文将围绕这些问题展开探讨。 跨国公司撤出的背景与

高效+灵活,万博智云全球发布AWS无代理跨云容灾方案!

摘要 近日,万博智云推出了基于AWS的无代理跨云容灾解决方案,并与拉丁美洲,中东,亚洲的合作伙伴面向全球开展了联合发布。这一方案以AWS应用环境为基础,将HyperBDR平台的高效、灵活和成本效益优势与无代理功能相结合,为全球企业带来实现了更便捷、经济的数据保护。 一、全球联合发布 9月2日,万博智云CEO Michael Wong在线上平台发布AWS无代理跨云容灾解决方案的阐述视频,介绍了

Andrej Karpathy最新采访:认知核心模型10亿参数就够了,AI会打破教育不公的僵局

夕小瑶科技说 原创  作者 | 海野 AI圈子的红人,AI大神Andrej Karpathy,曾是OpenAI联合创始人之一,特斯拉AI总监。上一次的动态是官宣创办一家名为 Eureka Labs 的人工智能+教育公司 ,宣布将长期致力于AI原生教育。 近日,Andrej Karpathy接受了No Priors(投资博客)的采访,与硅谷知名投资人 Sara Guo 和 Elad G

秋招最新大模型算法面试,熬夜都要肝完它

💥大家在面试大模型LLM这个板块的时候,不知道面试完会不会复盘、总结,做笔记的习惯,这份大模型算法岗面试八股笔记也帮助不少人拿到过offer ✨对于面试大模型算法工程师会有一定的帮助,都附有完整答案,熬夜也要看完,祝大家一臂之力 这份《大模型算法工程师面试题》已经上传CSDN,还有完整版的大模型 AI 学习资料,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

AI Toolkit + H100 GPU,一小时内微调最新热门文生图模型 FLUX

上个月,FLUX 席卷了互联网,这并非没有原因。他们声称优于 DALLE 3、Ideogram 和 Stable Diffusion 3 等模型,而这一点已被证明是有依据的。随着越来越多的流行图像生成工具(如 Stable Diffusion Web UI Forge 和 ComyUI)开始支持这些模型,FLUX 在 Stable Diffusion 领域的扩展将会持续下去。 自 FLU

Vue3项目开发——新闻发布管理系统(六)

文章目录 八、首页设计开发1、页面设计2、登录访问拦截实现3、用户基本信息显示①封装用户基本信息获取接口②用户基本信息存储③用户基本信息调用④用户基本信息动态渲染 4、退出功能实现①注册点击事件②添加退出功能③数据清理 5、代码下载 八、首页设计开发 登录成功后,系统就进入了首页。接下来,也就进行首页的开发了。 1、页面设计 系统页面主要分为三部分,左侧为系统的菜单栏,右侧

maven发布项目到私服-snapshot快照库和release发布库的区别和作用及maven常用命令

maven发布项目到私服-snapshot快照库和release发布库的区别和作用及maven常用命令 在日常的工作中由于各种原因,会出现这样一种情况,某些项目并没有打包至mvnrepository。如果采用原始直接打包放到lib目录的方式进行处理,便对项目的管理带来一些不必要的麻烦。例如版本升级后需要重新打包并,替换原有jar包等等一些额外的工作量和麻烦。为了避免这些不必要的麻烦,通常我们

禅道Docker安装包发布

禅道Docker安装包发布 大家好, 禅道Docker安装包发布。 一、下载地址 禅道开源版:   /dl/zentao/docker/docker_zentao.zip  备用下载地址:https://download.csdn.net/download/u013490585/16271485 数据库用户名: root,默认密码: 123456。运行时,可以设置 MYSQL_ROOT_P

如何打造个性化大学生线上聊天交友系统?Java SpringBoot Vue教程,2025最新设计思路

✍✍计算机编程指导师 ⭐⭐个人介绍:自己非常喜欢研究技术问题!专业做Java、Python、微信小程序、安卓、大数据、爬虫、Golang、大屏等实战项目。 ⛽⛽实战项目:有源码或者技术上的问题欢迎在评论区一起讨论交流! ⚡⚡ Java实战 | SpringBoot/SSM Python实战项目 | Django 微信小程序/安卓实战项目 大数据实战项目 ⚡⚡文末获取源码 文章目录

C++编程:ZeroMQ进程间(订阅-发布)通信配置优化

文章目录 0. 概述1. 发布者同步发送(pub)与订阅者异步接收(sub)示例代码可能的副作用: 2. 适度增加缓存和队列示例代码副作用: 3. 动态的IPC通道管理示例代码副作用: 4. 接收消息的超时设置示例代码副作用: 5. 增加I/O线程数量示例代码副作用: 6. 异步消息发送(使用`dontwait`标志)示例代码副作用: 7. 其他可以考虑的优化项7.1 立即发送(ZMQ_IM