发布日期:2025-03-30 浏览次数:
2025 年 3 月 31 日,PCI DSS 4.0 合规截止日期即将到来。如果您已经做好充分准备,那就太好了!但如果您仍在努力完成最后几步,请不要担心,您并不孤单。满足新的“未来”要求可能会让人感到不知所措,但只要采用正确的方法和正确的解决方案,合规性是可以实现的。让我们分析一下变化是什么、为什么重要,以及 Thales(泰雷兹) 和 Imperva(Thales 旗下公司)如何帮助您自信地度过最后阶段。
遵守 PCI DSS 4.0 很重要,原因如下。显然,不遵守规定会产生经济后果——每月损失 5,000 至 100,000 美元——但重要的是,不要将 PCI DSS 仅仅视为监管负担,还应将其视为业务推动因素。
每天,有大量消费者进行信用卡交易。您需要确保他们正在使用您的服务。当然,无缝的用户体验很重要,但最终,消费者只有在相信您会保护他们的数据的情况下才会使用您的服务——Thales 2024 年消费者数字信任指数发现,各个行业的消费者都高度重视在线体验和数据安全。PCI DSS 合规性证明您值得处理客户数据。
尽管 PCI DSS 4.0 于 2022 年 3 月首次发布,但其未来要求要到 2025 年 3 月 31 日才生效。这是因为 PCI 安全标准委员会 (SSC) 认识到这些要求可能需要对组织的系统、流程或技术进行重大更改。
不过,再说一遍,不要紧张:Thales 和 Imperva 的解决方案可以帮助您满足许多此类要求。但我们稍后再讨论。首先,让我们看看这些未来要求是什么:
扩大 MFA 实施范围:持卡人数据环境 (CDE) 的所有访问都需要 MFA,而不仅仅是远程访问。这意味着对 CDE 内的系统的本地和远程访问都实施 MFA。
增加密码长度:最小密码长度将增加到十二个字符,除非系统不支持此长度,在这种情况下最小密码长度仍为八个字符。
密码管理:密码不能硬编码到应用程序或系统帐户中,并且必须定期更改应用程序和系统帐户密码。
自动化应用程序保护:面向公众的 Web 应用程序必须受到自动化技术解决方案的保护,例如 Web 应用程序防火墙;手动应用程序审查将不再足够。
脚本管理:支付页面脚本必须进行管理,以确保授权和完整性,防止未经授权的修改。
年度审查:必须每年正式审查正在使用的加密套件和协议,包括积极监控行业加密趋势——由于后量子加密,需要加密敏捷性。
加强培训计划:必须每年审查和更新安全意识计划,以解决网络钓鱼、社会工程学和最终用户技术的可接受使用等问题。
如果您的组织尚未遵守 PCI DSS 4.0,Thales 和 Imperva 解决方案可帮助满足几乎所有未来要求。具体方法如下。
Thales数据安全解决方案是确保符合 PCI DSS 4.0 要求的关键。我们的解决方案通过加密和标记化来发现、分类和保护卡数据,所有这些都由 FIPS 验证的密钥管理提供支持。
此外,CipherTrust 透明加密(CTE)可保护静态数据,无论其位于何处。我们还提供实时监控和机器学习异常检测来识别潜在威胁,而自动修复可立即处理任何漏洞。这些解决方案共同保护和加密卡数据,让您能够无缝实现 PCI DSS 4.0 合规性。
Imperva 的自动化应用程序和 API 保护平台可保护 Web 应用程序和 API 免受攻击者的攻击。它结合了 WAF、机器人管理、API 安全性和运行时保护,可防御 OWASP Top 10 威胁、机器人攻击和 API 漏洞,确保应用程序可用性、数据保护和 PCI DSS 4.0 合规性。
此外,该平台还包括客户端保护,可让您查看网站使用的第三方脚本以及受保护网站运行的属于客户端的您自己的脚本。这意味着您可以轻松了解输入敏感客户数据的关键路径上运行的脚本,并遵守 PCI DSS 4.0。
Thales 的身份和访问管理 (IAM)解决方案有助于满足扩展的 MFA 实施要求。我们的解决方案提供多种身份验证方法(包括无密码和基于风险的身份验证)、精细的访问控制以及跨所有 CDE 系统的无缝集成,从而弥合本地/远程访问差距并简化合规性。无密码身份验证完全摒弃了密码,增强了安全性,改善了用户体验,并满足 PCI DSS 4.0 要求。Thales Passwordless 360提供无缝、安全的登录,包括生物识别、FIDO2 密钥等,消除了密码漏洞。
有关 PCI DSS 4.0 的更多信息以及 Thales 和 Imperva 解决方案如何帮助您在 3 月 31 日截止日期之前遵守规定,请联系揽阁信息。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
