虽然合规性要求有时会让人感到繁重，但 PCI DSS 4.0 提供了一个让您的支付卡安全面向未来的机会。它高度关注灵活性和基于风险的控制，使组织能够更贴近其个人需求定制安全措施。此外，随着全球监管审查的加强，周全的 PCI DSS 4.0 策略可以为遵守 DORA、NIS2 和 GLBA 等其他数据保护框架奠定基础。

然而，要在分阶段的最后期限内适应这一不断发展的标准，需要采取积极主动的方法。让我们详细分析一下您现在应在2024 年 3 月 31 日截止日期之前采取的关键步骤，并探讨如何简化长期合规工作。

第一阶段清单：遵守 2024 年 3 月的最后期限

PCI DSS 4.0 的初始实施阶段侧重于为改进后的安全状况奠定坚实的基础。尽管这个截止日期已经过去，但请使用此清单来确保一切都井然有序：

• 环境清单：确保彻底映射和记录与持卡人数据 (CHD) 交互的所有系统、组件和流程。全面了解持卡人数据环境 (CDE) 对于后续风险分析和有针对性的控制实施至关重要。
• 风险评估重新评估：PCI DSS 4.0 强调有针对性的、基于风险的控制。根据新标准的要求和潜在威胁进行新的风险评估。确定 CDE 中需要最严格安全措施的最高风险区域。
• 增强的访问安全性：更新您的密码策略以符合更严格的标准。确保对所有有权访问 CDE 的帐户（尤其是具有特权访问权限的帐户）强制执行多重身份验证(MFA)。
• 可定制的方法：PCI DSS 4.0 的主要优势之一是其灵活性。抓住这个机会！查看满足合规性要求的不同方法，并选择最适合您独特的业务需求和风险状况的方法。这也有利于简化支付行业其他法规的合规性。

以上重点介绍了最直接的行动。请参阅官方 PCI DSS 4.0 文档，了解第一阶段要求的完整概述。

第二阶段清单：为 2025 年 3 月最后期限做准备

PCI DSS 4.0 合规性的第二阶段建立在您在第一阶段建立的基础之上。重点转向进一步加强防御和完善流程。以下是您应该关注的内容：

• 网络和应用程序级安全：重新评估和强化防火墙配置以获得最佳保护。实施网络分段策略以隔离 CDE 并最大程度地减少攻击面。通过定期漏洞扫描、修补和输入验证来增强 Web 应用程序安全性，以防御常见攻击。

• 加密重新评估：确保传输中和静态数据的加密协议和密钥管理实践符合最新、最可靠的标准。现在是将传统加密升级为抗量子方案的时候了，以使您的业务面向未来。

• 更改检测：实施文件完整性监控 (FIM) 或类似的解决方案来监视 CDE 中的关键文件和配置。这将提醒您任何未经授权或潜在的恶意更改。

• 增强的日志记录和监控：升级您的日志记录系统并考虑实施安全信息和事件管理 (SIEM) 解决方案。可见性的提高可以实现更快、更有效的事件检测和响应。

现在，规划第二阶段可以让您分摊成本、错开实施并彻底测试任何新的安全工具或流程，而无需在以后面临最后一刻的压力。

协调合规性：使 PCI DSS 4.0 与其他法规保持一致

全球网络安全形势变得越来越复杂，数据保护、事件管理和风险评估要求方面存在多种重叠的法规。精心设计的 PCI DSS 4.0 合规策略可以根据其他关键法规最大限度地减少重复并增强您的整体安全状况：

• DORA：《数字运营弹性法案》强调跨 ICT 系统的风险管理。与 PCI DSS 4.0 对目标控制、第三方供应商风险评估和事件报告的强调相一致，可以为受 DORA 约束的组织提高效率。

• NIS2：与 PCI DSS 4.0 一样，网络和信息系统指令优先考虑基于风险的方法，重点关注最关键的资产和服务。协调您的事件响应程序、风险评估和安全管理计划，以全面简化合规性。

• Gramm-Leach-Bliley 法案 (GLBA)：这项美国法规要求对金融领域内的非公开个人信息采取强有力的数据保护措施。 PCI DSS 4.0 关于数据保护、访问管理和风险评估的更新控制可以直接支持 GLBA 合规工作。

关键要点是什么？不要将 PCI DSS 4.0 视为一项孤立的要求，而是将其视为综合网络安全策略的核心部分，可以改善您的整体安全状况，同时简化跨多个监管框架的合规工作。

与我们一起为 PCI DSS 4.0 做好准备

PCI DSS 4.0 的灵活性和基于风险的强调使企业能够实施真正适合其独特环境的安全控制。这意味着更有效的资源分配和更有效的关键资产保护。通过抓住这个机会，组织不仅可以保护客户数据，还可以在网络安全成为消费者最关心的问题的世界中获得竞争优势。合规之旅提供了一个改善安全状况并建立更大客户信任的机会。

揽阁信息提供的信息安全产品和解决方案，可有效帮助您面临PCI DSS 4.0的合规审计要求，欢迎您与我们的安全专家进行更为深入的交流和讨论。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Thales和DigiCert如何防范软件供应链攻击

• 利用 CipherTrust透明加密勒索软件防护 阻止勒索软件

• Luna HSM v7.8.7 和 Luna HSM Universal Client v10.7.1 现已推出

• Thales Luna HSM：首款通过 FIPS 140-3 Level 3验证的硬件安全模块

• 通过以数据为中心的安全性增强协作：安全数据共享策略