PCI DSS 4.0 取代了 PCI SSC 于 2018 年发布的 3.2.1 版。最新版标准的目标是“应对新兴威胁和技术,并采用创新方法应对新威胁”,以应对客户支付信息。
PCI DSS 4.0在一份 360 页的文档中进行了详细说明,是根据全球支付行业 200 多名成员的反馈创建的。更改的摘要显示在单独的文档中。
PCI SCC 强调的变化包括对持卡人数据环境的所有访问实施 MFA,将术语“防火墙”替换为“网络安全控制”以支持更广泛的安全技术,以及提高组织的灵活性以展示如何他们使用不同的方法来实现安全目标。许多新要求与有针对性的风险分析有关。
由于实施更新可能需要一些时间,因此 3.2.1 版将一直有效到 2024 年 3 月 31 日。PCI SSC 指出,一些新要求最初被认为是最佳实践,但它们将于 3 月 31 日生效, 2025. 在此日期之后,他们将在 PCI DSS 评估中得到充分考虑。
Tripwire 战略副总裁 Tim Erlin 认为,“PCI DSS 的最后一次更新是在 2018 年,从那时起世界肯定发生了变化,对安全配置系统的任何额外强调都是对网络安全最佳实践的一个受欢迎的补充。虽然先前版本的 PCI DSS 解决了安全配置问题,但不幸的是,它专注于更改供应商提供的默认密码。安全配置管理远远超出供应商提供的密码,很高兴看到新版本的标准采用更广泛的方法来满足要求。”
自 2018 年发布先前版本的 PCI DSS 以来,零信任架构的采用率不断提高,新版本的标准为零信任的身份验证和授权方法留出了空间,允许‘动态分析’的安全态势作为一种提供‘实时资源访问’的机制,作为轮换密码的替代方案。及时了解网络安全方面的最佳实践对于避免组织降低安全性以保持合规性非常重要。
原文始发于微信公众号(河南等级保护测评):PCI 数据安全标准 v4.0 发布以应对新出现的威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论