支付卡产业最新发布PCI DSS v4.0.1

2024-06-13 11:28

本文主要是介绍支付卡产业最新发布PCI DSS v4.0.1,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

20223PCI DSS v4.0发布以来,受到全球支付产业高度关注,为了解决来自所有产业相关者的反馈和问题,PCI安全标准委员会(PCI SSC)发布了该标准的修订版PCI DSS v4.0.1。其中包括对格式和印刷错误的更正,也澄清了一些要求和指南的重点和意图。本修订版中没有附加或删除的要求内容。

为了确保变更、澄清和额外的指导能够有效地支持产业采用PCI DSS v4PCI SSC顾问委员会(BoABoard of Advisors)、全球执行评估员圆桌会议(GEARGlobal Executive Assessor Roundtable)和主要参与机构(Principal Participating Organizations)(通过技术指导小组)被邀请在202312月至20241月的征求意见(RFC: Request for Comments)期间审查变更提议,并提供反馈。

有关更改的完整描述,请参阅PCI DSS v4.0v4.0.1版本的更改摘要,该摘要现已在PCI SSC文档库(PCI SSC Document Library)中提供。本次更新中所做的一些更改包括:

Requirement 要求3

  • Clarified Applicability Notes for issuers and companies that support issuing services.
    针对发卡机构和支持发卡服务的公司明确的适用性说明。
     
  • Added a Customized Approach Objective and clarified applicability for organizations using keyed cryptographic hashes to render Primary Account Numbers (PAN) unreadable. 
    增加了自定义方法目标,并阐明了使用带密钥的强加密哈希算法使主账号(PAN)不可读取的机构的适用性。

Requirement要求6

  • Reverted to PCI DSS v3.2.1 language that installing patches/updates within 30 days applies only for “critical vulnerabilities.”
    恢复到PCI DSS v3.2.1语言,即在30天内安装修补程序/更新仅适用于“重要漏洞”。
     
  • Added Applicability Notes to clarify how the requirement for managing payment page scripts applies. 
    添加了适用性说明,以澄清针对管理支付页面脚本的要求如何适用。

Requirement要求8

  • Added an Applicability Note that multi-factor authentication for all (non-administrative) access into the CDE does not apply to user accounts that are only authenticated with phishing-resistant authentication factors. 
    添加了一个适用性说明,即对CDE的所有(非管理)访问的多因素身份验证不适用于仅使用防钓鱼身份验证因素进行身份验证的用户帐户。

Requirement要求12

  • Updated Applicability Notes to clarify several points about relationships between customers and third-party service providers (TPSPs). 
    更新了适用性说明,以澄清有关客户和第三方服务提供商(TPSP)之间关系的几点说明。

Appendices附录

  • Removed Customized Approach sample templates from Appendix E and referred to the sample templates that are available on the PCI SSC website.
    从附录E中删除了定制方法样本模板,并参考了PCI SSC网站上的样本模板。
     
  • Added definitions for “Legal Exception,” "Phishing Resistant Authentication," and “Visitor” to Appendix G. 
    在附录G中增加了“法律例外”、“抗网络钓鱼认证”和“访问者”的定义。

PCI DSS v4.0.1常见问题解答

  • PCI DSS v4.0何时退休?

与所有新版本的PCI DSS一样,在一段时间内,当前版本和更新版本将同时处于活动状态。PCI DSS v4.0将于20241231日退休。在此之后,PCI DSS v4.0.1将成为PCI SSC支持的唯一当前版本。

  • PCI DSS v4.0.1是否更改了新要求的2025331日生效日期?

否。目前有限的修订不会影响这些新要求的生效日期。

  • PCI DSS v4.0.1中是否有任何新要求?

否。由于这是一个有限的修订,没有新的或删除的要求。有关完整详细信息,请参阅PCI DSS v4.0v4.0.1的变更摘要。

  • PCI DSS v4.0.1 合规报告(ROC)和合规证明(AOC)以及自我评估问卷(SAQ)的模板何时发布?

PCI DSS v4.0.1的合规性报告(ROC)和合规证明(AOC)以及自我评估问卷(SAQ)的模板将于2024年第三季度发布,随后不久将发布更新的PCI DSS支持文件,如优先方法工具。

如果需要更多信息了解PCI DSS v4.0.1和从PCI DSS v4.0v4.0.1的变更摘要,可在PCI SSC文档库中找到。也随时欢迎联系atsec信息安全获取更多资讯。

atsec作为GEAR成员之一积极参与标准更新制定和反馈,为PCI DSS标准发展做出了贡献,同时atsec也作为产业机构的桥梁,通过合适的方式进行信息的及时分享,从而促进了产业的积极交流。atsec期待着合规评估领域在评估工作高质量发展的同时,更加提高审核的效率且精简相关的流程和方法。

关于艾特赛克(atsec)信息安全

atsec information security是一家独立且基于标准的信息技术(ITInformation Technology)安全咨询、评估和测评服务公司,它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec2000年成立于德国,目前通过欧洲、美国和亚洲的分支机构,广泛的面向世界范围商业和政府的诸多领域。我们的同事是不同技术领域的专家,包括操作系统、数据库、网络设备、嵌入式系统等等。

我们的实验室根据不同的标准开展商业产品和系统的评估和测试,包括Common CriteriaFIPS 140-3O-TTPSPCIISO/IEC 27001NESAS,从而确保用户的安全性。我们针对不同规模的客户成功完成了诸多的脆弱性评估、密码测试、安全审计,以及独立的评估,涉及电信、金融和能源等不同行业。

支付卡产业(PCI: Payment Card Industry),atsec提供不同安全评估体系和标准领域的完整服务。atsec经过PCI安全标准委员会(SSC: Security Standards Council)授权认可的安全评估资质包括PCI数据安全标准(PCI DSS: PCI Data Security Standard)合格的安全性评估机构(QSA: Qualified Security Assessor)、授权的扫描服务商(ASV: Approved Scanning Vendor)、PCI点对点加密(P2PEPOINT-TO-POINT ENCRYPTION)评估机构、PCI 3DS评估机构、合格的PIN评估机构(QPAQualified PIN Assessor)、PCI软件安全框架(SSFSoftware Security Framework)安全软件(Secure Software和安全软件生命周期(SLCSecure Software Lifecycle)评估机构、卡生产安全评估机构(CPSACard Production Security Assessor)(面向物理和逻辑安全要求两个独立的标准),以及取证调研机构(PFIPCI Forensic Investigators)。此外,atsec提供PCI合规相关支持服务,包括但不限于体系文档和整改咨询、渗透测试、风险评估等。

atsec是产业的领导者和贡献者,我们是年度国际密码会议(ICMC)的成立者。atsec积极贡献于不同的标准化组织,包括Common CriteriaISOGSMAPCI GEAR,以及欧盟安全法令工作组等。

这篇关于支付卡产业最新发布PCI DSS v4.0.1的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1057173

相关文章

SpringKafka消息发布之KafkaTemplate与事务支持功能

《SpringKafka消息发布之KafkaTemplate与事务支持功能》通过本文介绍的基本用法、序列化选项、事务支持、错误处理和性能优化技术,开发者可以构建高效可靠的Kafka消息发布系统,事务支... 目录引言一、KafkaTemplate基础二、消息序列化三、事务支持机制四、错误处理与重试五、性能优

新特性抢先看! Ubuntu 25.04 Beta 发布:Linux 6.14 内核

《新特性抢先看!Ubuntu25.04Beta发布:Linux6.14内核》Canonical公司近日发布了Ubuntu25.04Beta版,这一版本被赋予了一个活泼的代号——“Plu... Canonical 昨日(3 月 27 日)放出了 Beta 版 Ubuntu 25.04 系统镜像,代号“Pluc

查看Oracle数据库中UNDO表空间的使用情况(最新推荐)

《查看Oracle数据库中UNDO表空间的使用情况(最新推荐)》Oracle数据库中查看UNDO表空间使用情况的4种方法:DBA_TABLESPACES和DBA_DATA_FILES提供基本信息,V$... 目录1. 通过 DBjavascriptA_TABLESPACES 和 DBA_DATA_FILES

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

最新Spring Security实战教程之表单登录定制到处理逻辑的深度改造(最新推荐)

《最新SpringSecurity实战教程之表单登录定制到处理逻辑的深度改造(最新推荐)》本章节介绍了如何通过SpringSecurity实现从配置自定义登录页面、表单登录处理逻辑的配置,并简单模拟... 目录前言改造准备开始登录页改造自定义用户名密码登陆成功失败跳转问题自定义登出前后端分离适配方案结语前言

OpenManus本地部署实战亲测有效完全免费(最新推荐)

《OpenManus本地部署实战亲测有效完全免费(最新推荐)》文章介绍了如何在本地部署OpenManus大语言模型,包括环境搭建、LLM编程接口配置和测试步骤,本文给大家讲解的非常详细,感兴趣的朋友一... 目录1.概况2.环境搭建2.1安装miniconda或者anaconda2.2 LLM编程接口配置2

Nginx实现前端灰度发布

《Nginx实现前端灰度发布》灰度发布是一种重要的策略,它允许我们在不影响所有用户的情况下,逐步推出新功能或更新,通过灰度发布,我们可以测试新版本的稳定性和性能,下面就来介绍一下前端灰度发布的使用,感... 目录前言一、基于权重的流量分配二、基于 Cookie 的分流三、基于请求头的分流四、基于请求参数的分

Mysql中InnoDB与MyISAM索引差异详解(最新整理)

《Mysql中InnoDB与MyISAM索引差异详解(最新整理)》InnoDB和MyISAM在索引实现和特性上有差异,包括聚集索引、非聚集索引、事务支持、并发控制、覆盖索引、主键约束、外键支持和物理存... 目录1. 索引类型与数据存储方式InnoDBMyISAM2. 事务与并发控制InnoDBMyISAM

Redis 内存淘汰策略深度解析(最新推荐)

《Redis内存淘汰策略深度解析(最新推荐)》本文详细探讨了Redis的内存淘汰策略、实现原理、适用场景及最佳实践,介绍了八种内存淘汰策略,包括noeviction、LRU、LFU、TTL、Rand... 目录一、 内存淘汰策略概述二、内存淘汰策略详解2.1 ​noeviction(不淘汰)​2.2 ​LR

StarRocks索引详解(最新整理)

《StarRocks索引详解(最新整理)》StarRocks支持多种索引类型,包括主键索引、前缀索引、Bitmap索引和Bloomfilter索引,这些索引类型适用于不同场景,如唯一性约束、减少索引空... 目录1. 主键索引(Primary Key Index)2. 前缀索引(Prefix Index /