PCI DSS 代表支付卡行业数据安全标准。它是一组安全标准,旨在确保所有接受、处理、存储或传输信用卡信息的公司维持一个安全的环境。创建该标准是为了保护敏感的支付卡数据(例如信用卡号)免遭盗窃和欺诈。
支付卡行业数据安全标准 (PCI DSS ) 是 Visa、MASterCard、Discover Financial Services、JCB International 和 American Express 于 2004 年合作制定的一组安全协议。该合规框架由支付卡行业安全标准委员会 (PCI SSC) 监管,旨在保护信用卡和借记卡交易免遭未经授权的访问、数据泄露和欺诈活动。
PCI DSS v4.0 是支付卡行业数据安全标准 (PCI DSS) 的下一代演进。对于新的迭代,以下是 PCI 标准安全委员会为 PCI v4.0 概述的高级目标
此外,PCI DSS 4.0 中还考虑了以下技术领域的潜在调整:
在此处了解有关 PCI DSS 4.0 要求的更多信息
以下是您加快了解PCI DSS 4.0所需的内容。
PCI DSS 4.0 版本
PCI DSS 3.2.1 已停用。最佳实践要求4.0
PCI DSS 4.0 最佳实践要求强制
白宫发布了《关于促进美国在量子计算领域的领导地位,同时降低易受攻击的加密系统风险的国家安全备忘录》,也称为 NSM-10。 NSM-10 广泛讨论了降低量子计算机可能给加密带来的风险。它概述了美国国家标准与技术研究所 (NIST) 在 2024 年引入新的后量子密码 (PQC)代码时联邦机构必须遵循的各种步骤。
私营部门正式采用 NSM-10 的时间表尚不清楚。然而,受PCI DSS 合规性约束的组织已经满足了 12.3.3 的要求。在 PCI 中,DSS 4.0 在 2025 年 3 月 31 日之后成为强制要求;在此之前,它是可选的,并且可以被视为最佳实践。
至少每 12 个月记录和审查一次正在使用的密码套件和协议,其中至少包括以下内容:
检查正在使用的加密套件和协议的文档,与人员面谈以验证文档,并对其进行审查以确保其满足 PCI DSS 4.0 要求中指定的所有元素。
由于发现漏洞或设计缺陷,协议和加密强度可能会迅速改变或被弃用。为了支持当前和未来的数据安全需求,实体需要知道加密技术的使用地点,并了解他们如何能够快速响应影响其加密实现强度的变化。
组织必须了解并为向 PQC 的过渡做好相应的准备。这包括评估他们当前的加密基础设施、识别潜在的漏洞以及计划采用新的加密方法。通过这样做,组织可以减轻与过时加密技术相关的风险,并确保敏感数据(特别是持卡人信息)的安全。
此外,使加密策略与 PCI DSS 4.0 要求保持一致对于保持合规性和保护支付卡数据至关重要。这包括实施强大的加密协议、遵守安全最佳实践以及随时了解监管更新。
NSM-10 提到各机构制定了一项迁移计划,以便在新标准发布后一年内过渡到后量子密码学 (PQC)。该计划应包括证明到 2035 年完成迁移的里程碑。
这样的计划将作为要求 12.3.3 最后一部分的证据:“应对加密漏洞预期变化的记录策略。”虽然 PQC 迁移计划解决了容易被量子计算机利用的密码学漏洞,但还必须分析其他潜在的密码学漏洞。必须记录相应的缓解计划,以确保完全符合要求 12.3.3。对于任何利用加密技术的组织来说,实施 PQC 都应该成为数据保护策略的一部分。
监控向后量子密码学 (PQC) 过渡和 PCI DSS 4.0 合规性的关键事件和要求:
活动说明 | 时间表/要求 |
---|---|
NIST 发布 PQC 新标准 | 2024年 |
商务部长关于废弃量子易受攻击密码时间表的提案 | NIST 发布后 90 天 |
上述弃用时间表的审查和调整 | 每年 |
对已弃用密码结果的行业监控 | 需要持续监控 |
监控密码的可行性 | 持续评估 |
监测程序和结果的记录 | 记录的程序和结论 |
支持 PCI DSS 4.0 合规性 | 合规所需的证据 |
NIST 弃用行动计划 | 添加 PCI 合规性证据 |
实施 PCI DSS 4.0 对于组织准备转向量子安全加密至关重要。随着网络安全威胁的演变,企业必须更新其安全策略,以有效应对新出现的风险。通过遵守 PCI DSS 4.0 准则并随时了解行业发展,即使面对量子计算的进步,组织也可以主动保护敏感数据。
这种积极主动的方法加强了安全措施,并在日益数字化的环境中在利益相关者之间建立了信任。保持警惕和准备状态对于防范不断变化的威胁和确保支付卡数据的持续安全至关重要。
总之,PCI DSS 4.0 要求 12.3.3 要求组织:
总体而言,PCI DSS 4.0 考虑了加密管理和加密敏捷性最佳实践,以快速响应加密协议漏洞的未来发展。揽阁信息所提供的Thales Luna HSM目前已经支持PQC(后量子算法),详情请阅读《Thales Luna Post-Quantum Crypto(PQC/抗量子加密) 功能模块 (FM)》,同时我们也欢迎您联系我们,与我们的安全专家进行深入的交流和讨论。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!