2022 年 3 月 31 日,PCI 安全标准委员会(PCI SSC) 发布了 PCI 数据安全标准 (PCI DSS) 4.0 版。PCI DSS v4.0 取代了 3.2.1 版,以应对新出现的威胁和技术,并采用创新方法应对新威胁。PCI SSC 网站上现已提供更新后的标准和变更摘要文件。
为了让组织有时间了解 4.0 版的变化并实施所需的任何更新,当前版本的 PCI DSS v3.2.1 将保持有效两年,直到 2024 年 3 月 31 日停用。一旦评估员完成 PCI 培训DSS v4.0,组织可以评估 PCI DSS v4.0 或 PCI DSS v3.2.1。
除了过渡期之外,组织必须在 2025 年 3 月 31 日之前逐步引入最初在 v4.0 中被确定为最佳实践的新要求。在此日期之前,组织不需要验证这些新要求。但是,鼓励已实施控制以满足新要求并准备在其生效日期之前对控制进行评估的组织这样做。2025 年 3 月 31 日之后,这些新要求将生效,并且必须作为 PCI DSS 评估的一部分予以充分考虑。
图 1:PCI DSS 4.0 实施时间表。资料来源:PCI SSC
“不要等到 2024 年才实施更新后的标准。立即开始评估更改并整合实施,”劳伦斯利弗莫尔国家实验室 (LLNL) 的高级 IT 和安全专家 Lee Neely指出。
标准的更新侧重于满足支付行业不断变化的安全需求,促进安全作为一个持续的过程,增加使用不同方法实现安全目标的组织的灵活性,以及增强验证方法和程序。有关更新的详细信息,请参阅 PCI SSC 网站上的PCI DSS v4.0 变更摘要文档。
PCI DSS v4.0 中的更改示例包括:
扩展要求 8 以实现对持卡人数据环境的所有访问的多因素身份验证 (MFA)。
将防火墙术语更新为网络安全控制,以支持更广泛的技术,以满足传统上由防火墙实现的安全目标。
提高组织的灵活性,以展示他们如何使用不同的方法来实现安全目标。
添加有针对性的风险分析,使实体能够灵活地定义他们执行某些活动的频率,以最适合他们的业务需求和风险敞口。
更新后的 PCI DSS 版本 4.0 包括三个要求,要求使用多因素身份验证 (MFA) 对用户和管理员进行强身份验证。根据该标准,“识别和验证用户的两个基本原则是:1)在计算机系统上建立个人或进程的身份,以及 2)证明或验证与身份相关的用户是用户声称的人是。” 当每个用户都可以被唯一识别时,它可以确保对该身份执行的操作负责,并且当这种责任到位时,所采取的操作可以追溯到已知和授权的用户。
要求是:
8.3 为用户和管理员建立和管理强认证。
8.4 实施多因素身份验证 (MFA) 以保护对 CDE 的访问。
8.5 多重身份验证 (MFA) 系统配置为防止滥用。
这些要求适用于所有系统组件上的所有帐户,包括但不限于:
销售点账户
具有管理能力的帐户
系统和应用程序帐户
用于查看或访问持卡人数据或访问包含持卡人数据的系统的所有帐户。
这包括员工、承包商、顾问、内部和外部供应商以及其他第三方(例如,用于提供支持或维护服务)使用的帐户。
恶意个人破坏系统的常用方法是利用弱或不存在的身份验证因素(例如,密码/密码)。要求一种以上类型的身份验证因素会降低攻击者通过伪装成合法用户来访问系统的可能性,因为攻击者需要破坏多个身份验证因素。然而,正如标准所指出的,攻击者可以绕过配置不当的 MFA 系统,因此所选的 MFA 解决方案不应“容易受到重放攻击”。
“更多的 MFA 总是更好。但此时,您的问题不应该是您是否需要 MFA。问题应该转移到哪种 MFA 足以满足特定应用的需求,” SANS 技术研究所研究所所长Johannes Ullrich 博士说。
事实是,并非所有 MFA 解决方案都提供相同程度的安全性。例如,基于 SMS 的多因素身份验证被认为不太安全,NIST 和 ENISA 建议组织应重新考虑其使用。ENISA 的“提高组织的网络弹性”出版物建议组织应避免使用 SMS 作为身份验证方法。此外,NIST 的SP 800-63 出版物指定基于 SMS 的身份验证是“受限制的”身份验证,这意味着它在当今的威胁环境中不太可靠。这个建议背后的关键原因是 SIM 交换攻击。
最近 Lapsus$ 犯罪集团对 Okta 的破坏凸显了 Push OTP 身份验证的一个弱点,即“ MFA 即时轰炸”。许多组织已经在移动设备上实施了推送通知。Lapsus$ 向最终用户的合法设备发出多个 Push 请求,直到用户接受身份验证,从而允许该组最终获得对该帐户的访问权限。
这就是为什么政府安全政策要求采用更强大的身份验证形式,包括抗网络钓鱼 MFA。美国的管理和预算办公室 (OMB) 和欧盟的 ENISA 都发布了指南,要求组织部署“抗网络钓鱼”的 MFA 方法,例如敏感用户和用例的 FIDO2 密钥。
希望同时符合 PCI DSS 4.0 和有关 MFA 的政府法规的组织应该寻找像 Thales 的 SafeNet Trusted Access 这样的解决方案,该解决方案提供广泛的身份验证方法和外形尺寸,允许他们处理多个用例和保证级别。这种访问管理和身份验证服务将单点登录的灵活性与 MFA 和自适应身份验证相结合,有助于确保为所有员工提供安全便捷的登录体验。SafeNet Trusted Access 支持广泛的基于标准的多因素方法,包括 FIDO2 和基于证书的身份验证。
联系揽阁信息,您可获取更多相关的方案和产品介绍。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!