对于任何存储、处理和传输支付卡信息的企业来说，遵守支付卡行业数据安全标准 (PCI DSS) 至关重要。对于不断规避 IT 安全防御的犯罪分子来说，消费者的支付数据是一个引人注目的目标。几乎所有主要金融机构、零售商和数十家支付处理商都成为数据泄露的受害者，造成财务和声誉损失。

根据Thales 2022 年数据威胁报告 - 金融服务版，52% 的美国金融服务组织表示他们过去曾经历过数据泄露事件。更令人担忧的是，43% 的受访者表示去年网络攻击的数量、严重程度和范围有所增加。此外，IBM 2023 年数据泄露成本报告表明，在数据泄露的平均成本方面，金融服务位居垂直行业之首，为 590 万美元，仅次于医疗保健。

截止日期很快就到了

PCI 数据安全标准 (PCI DSS) 于 2008 年制定，旨在标准化处理支付卡数据的企业需要执行的安全控制，以保护持卡人数据和敏感身份验证数据（无论这些数据在何处存储、处理或传输）。新版标准PCI DSS 4.0于2022年3月31日发布，不知不觉中，企业将面临2024年3月31日的合规截止日期。换句话说，我们距离完全遵守修订后的标准只有七个月的时间。

新版本包含许多更新，您可以在变更摘要文档中阅读。在本文，将重点关注两个要求，并展示 Thales CipherTrust 数据安全平台解决方案如何帮助企业简化合规性。

要求 3：保护存储的帐户数据

接受和处理持卡人数据的实体应保护数据并防止其未经授权的暴露或使用——无论数据是本地存储还是通过内部专用或外部公共网络传输到远程服务器或服务提供商。

要求 3.2 要求通过实施数据保留和处置政策、程序和流程，将帐户数据存储保持在最低限度。这些策略应强制将数据存储量和保留时间减少到绝对最低限度，以满足法律和业务要求。当不再需要存储这些数据时，组织应建立安全删除流程，使数据无法恢复。

安全数据存储与加密和密钥管理密切相关。在数据保留期结束时，必须销毁加密密钥，以数字方式粉碎所有数据实例，无论数据存储、备份或迁移到何处。要建立数据安全计划，利用控制和技术将帐户数据存储降至最低，组织首先需要了解其敏感数据所在的位置。

Thales CipherTrust 数据发现和分类可以跨多个云平台和传统数据存储有效地定位结构化和非结构化监管数据，以便组织确定修复的优先级。

要求 3.4.1 和 3.5.1 要求主帐号 (PAN) 在显示时被屏蔽。银行识别号 (BIN) 和最后四位数字是要显示的最大位数。在计算机屏幕、支付卡收据、纸质报告等上显示完整的 PAN 可能会导致未经授权的个人获取这些数据并进行欺诈性使用。确保仅向具有合法业务需求的人员显示完整的 PAN，最大限度地降低未经授权的人员访问 PAN 数据的风险。

Thales CipherTrust Tokenization（令牌化）解决方案包括多个动态数据屏蔽选项，具体取决于用户的角色。安全管理员可以制定策略以返回标记化的整个字段或动态屏蔽部分字段。例如，安全团队可以制定策略，以便具有客户服务代表凭据的用户只能收到最后四位可见的信用卡号，而客户服务主管可以清楚地访问完整的信用卡号。

要求 12：通过组织政策和计划支持信息安全

组织的整体信息安全策略为整个业务定下了基调，并告知员工对他们的期望。所有员工都应了解持卡人数据的敏感性及其保护数据的责任。

要求 12.5 进一步阐述，组织至少每 12 个月以及在持卡人数据环境 (CDE) 发生重大变化时记录并确认 PCI DSS 范围。有必要调整政策和程序以适应不断变化的业务和风险形势。范围评估和验证至少应包括识别各个支付阶段和接受渠道的所有数据流。

Thales CipherTrust 数据发现和分类可以帮助识别 PII（个人身份信息）的所有来源和位置，包括主帐号 (PAN)。该解决方案还可以查找驻留在定义的 CDE 外部的系统和网络上或定义的环境中意外位置的 PAN。该解决方案使企业能够跨所有存储位置有效地定位结构化和非结构化监管数据，从而就纠正差异做出更好的优先决策。

通过Thales数据保护为 PCI DSS 4.0 做好准备

这些只是值得您关注的 PCI DSS 4.0 要求中的两项。您可以联系揽阁信息，下载我们的综合论文，获取完整的要求列表，以及Thales数据保护解决方案如何帮助您加快合规时间，以满足 2024 年 3 月 31 日截止日期的要求。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• Thales提前完成收购Imperva交易

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代