发布日期:2025-03-11 浏览次数:
支付卡行业数据安全标准 (PCI DSS) 一直被认为是行业内最具规范性的法规之一。考虑到风险,它很有可能是最具规范性的法规。随着违规数量激增,威胁行为者发现绕过传统网络防御越来越容易,卡行业必须确保遵守规定的组织尽最大努力确保持卡人数据的安全。
然而,该标准始终存在细微差别。最新版本将于 3 月 31 日全面生效,其中将引入更多灵活性。
PCI DSS 4.0 是该标准的一个重要新版本,它引入了60 多项新技术控制措施,包括有关数据保护的新规则。然而,一些组织会发现,由于正当的业务或技术原因,他们无法满足 300 多项控制措施中的一些。这就是该标准允许“补偿控制”的原因。补偿控制并不是 PCI DSS 的理想解决方案,因为它们只是未满足要求的临时解决方法。与从一开始就实施标准控制措施相比,依赖它们可能会导致长期复杂性增加、成本增加和风险增加。
如果组织能够证明替代控制措施能够像原先强制的控制措施一样甚至更有效地降低风险,那么它将被视为足以满足合规目的。
但还有更多。虽然在以前的版本中也可以使用补偿控制,但 PCI DSS 4.0 为标准引入了一个新概念:“定制方法”。这适用于没有约束迫使他们以不同方式满足要求,而是主动选择走另一条路的组织。它是在收到企业的反馈后推出的,这些企业希望更灵活地使用创新技术来实现安全目标。
它支持 PCI 安全标准委员会 (SSC) 对该标准的愿景,即授权组织根据自身风险状况和当前威胁状况确定安全控制的优先级。通过这种方式,鼓励企业解决最相关的风险,而不是被迫遵守一套严格的措施。
然而,PCI SSC 指出:“当实体拥有强大的安全流程和强大的风险管理实践,并且能够有效地设计、记录、测试和维护安全控制以满足该目标时,定制方法最为成功。”
标记化被广泛认为是实现 PCI 合规性的最佳实践,它为处理持卡人数据的组织带来了巨大好处。它用持卡人数据环境 (CDE) 中的唯一标记替换主帐号 (PAN) 等敏感数据元素。这些“受保护的标记”如果被威胁行为者访问则毫无用处,从而大大降低了组织的违规风险。因此,它们被视为超出了 PCI DSS 的范围,从而减少了合规所需的成本、时间和资源。这就是为什么许多组织将标记化直接内置到支付架构中,以在日常运营中替换完整的 PAN,缩小范围并以直接的“标准”方式满足 PCI DSS 要求
CipherTrust Tokenization 大大降低了遵守安全政策和监管要求(如 PCI DSS)所需的成本和工作量,同时还可以轻松保护其他敏感数据,包括个人身份信息 (PII)。虽然业内没有Tokenization标准,但大多数Tokenization解决方案都属于以下两种架构之一:无保险库Tokenization或保险库Tokenization,两者都保护敏感资产并使其匿名化。Tokenization软件可以驻留在数据中心、大数据环境或云中。
如果您正在寻找Tokenization解决方案,请考虑:
具有动态数据屏蔽功能的 CipherTrust Vaultless Tokenization(无库)
CipherTrust Vaulted Tokenization(有库)
这两种产品都易于使用、云友好且高度安全。
现在联系揽阁信息,获取更多关于CipherTrust Tokenization的资料。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
