任何传输，处理或存储持卡人数据的企业都必须遵守PCI DSS。揽阁信息可以帮助您简化PCI DSS合规性和审计工作。

PCI DSS 4.0 要求

支付卡行业数据安全标准 (PCI DSS) 是一种信息安全标准，它提供了旨在保护支付数据和减少信用卡欺诈的技术和操作要求基线。PCI DSS 适用于存储、处理或传输持卡人数据 (CHD) 和/或敏感身份验证数据 (SAD) 的所有实体。

新版标准于 2022 年 3 月 31 日发布。与上一版 3.2.1 相比的变化包括：

• 扩展要求 8 以实现对持卡人数据环境的所有访问的多因素身份验证 (MFA)。

• 将防火墙术语更新为网络安全控制，以支持更广泛的技术，以满足传统上由防火墙实现的安全目标。

• 提高组织的灵活性，以展示他们如何使用不同的方法来实现安全目标。

• 添加有针对性的风险分析，使实体能够灵活地定义他们执行某些活动的频率，以最适合他们的业务需求和风险敞口。

有关更新的详细信息，请参阅 PCI SSC 网站上的PCI DSS v4.0 变更摘要文档。

什么是 PCI DSS？

支付卡行业数据安全标准( PCI DSS) 旨在鼓励和加强支付卡账户数据安全，并促进在全球范围内广泛采用一致的数据安全措施。PCI DSS 提供了旨在保护帐户数据的技术和操作要求基准。12 项主要要求代表 6 项总体原则。

PCI DSS 4.0 何时生效？

PCI DSS v3.2.1 将在 v4.0 发布后的两年内保持有效。这使组织有时间熟悉新版本，并计划和实施所需的更改。实施时间表如下图所示。

图 1：PCI DSS 4.0 实施时间表。资料来源：PCI SSC
 

与 PCI DSS 审计和合规性相关的风险

• 不遵守 PCI DSS 合规要求可能会导致罚款、费用增加，甚至终止您处理支付卡交易的能力。
• 不能孤立地考虑遵守 PCI DSS；组织受到多项安全授权以及数据保护和隐私法律或法规的约束。另一方面，PCI 合规项目很容易被更广泛的企业安全计划所牵制。
• 与 PCI DSS 要求相关的指导和建议包括可能已经存在的常见做法。但是，某些方面，特别是与加密和多因素身份验证相关的方面，对组织来说可能是新的，如果设计不正确，实施可能会造成破坏，对运营效率产生负面影响。
• 基于多个专有供应商解决方案和不充分的技术（这些技术成本高昂且操作复杂），很容易以零散的安全方法告终。
• 有机会缩小 PCI DSS 合规义务的范围，从而降低成本和影响；但是，如果组织不进行尽职调查以确保新系统和流程将被认证为符合 PCI DSS 标准，则可能会浪费时间和金钱。

综合合规解决方案

凭借数十年来帮助银行和金融机构遵守行业法规的经验，Thales（泰雷兹）提供集成的产品和服务，使您的组织能够保护存储的持卡人数据、对其进行加密以进行传输，并根据需要限制访问。此外，Thales与合作伙伴密切合作，提供全面的解决方案，以减少您的 PCI DSS 合规负担。

解决 PCI DSS 的核心原则

Thales提供全面的 PCI DSS 合规性软件解决方案，帮助组织解决 PCI DSS 的核心原则：

• 保护存储的帐户数据：Thales 的CipherTrust Manager和Luna 硬件安全模块 (HSM)，在本地提供，在云中作为Thales Data Protection Luna Cloud HSM 服务，以及跨混合环境，使组织能够执行加密操作并集中管理加密密钥并提供各种加密、令牌化和数据屏蔽解决方案，以保护传统和云或虚拟化环境中的文件、文件夹、应用程序和数据库中的持卡人数据。
  

  
  

• 在开放的公共网络传输过程中使用强大的加密技术保护持卡人数据：Thales High Speed Encryptors(HSE，2层网络链路加密机) 对穿越开放网络的持卡人和其他敏感数据进行加密。

  
  

• 开发和维护安全系统和软件：Thales Luna HSM和Luna Cloud HSM使组织能够将签名材料安全地存储在受信任的硬件设备中，从而确保任何应用程序代码的真实性和完整性。

  
  

• 按业务需要了解限制对系统组件和持卡人数据的访问：SafeNet Trusted Access使您能够集中管理独特的用户身份、基于风险的身份验证策略，以及添加/撤销对持卡人数据环境 (CDE) 中系统的访问。SafeNet Trusted Access 提供强大而广泛的现代身份验证功能，可满足不同用户和用户类型的需求。

  
  

• 识别用户并验证对系统组件的访问：Thales SafeNet Trusted Access确保为每个单独的用户分配一个唯一的凭证。SafeNet Trusted Access 提供最广泛的身份验证方法和形式因素，允许客户通过统一、集中管理的策略（通过在云中或本地交付的一个身份验证后端进行管理）解决众多用例、保证级别和威胁向量。支持的身份验证方法包括基于上下文的身份验证与升级功能、一次性密码 (OTP)、基于 X.509 证书的解决方案和 FIDO 安全密钥。

  
  

• 限制对持卡人数据的物理访问：Thales SafeNet Trusted Access 智能卡可以与各种楼宇访问技术集成，作为员工的物理和数字 ID。

  
  

• 记录和监控对系统组件和持卡人数据的所有访问：Thales产品组合中的所有产品都会生成审计记录，记录任何加密密钥生命周期操作（创建/删除/轮换/撤销）和可用于取证和事件报告的身份验证事件。

为更好的服务中国客户走出国门，揽阁信息专门整理全球各国各地区的信息安全合规性要求。

欢迎您与揽阁信息联系并沟通，获取更多满足合规要求的信息安全产品与解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解

• 适合每位居民的欧盟数字身份钱包：利用HSM和开放标准SSCD