PCI DSS 4.0 要求

支付卡行业数据安全标准 (PCI DSS) 是一种信息安全标准，它提供了技术和操作要求的基准，旨在保护支付数据并减少信用卡欺诈。PCI DSS 适用于存储、处理或传输持卡人数据 (CHD) 和/或敏感身份验证数据 (SAD) 的所有实体。

新版本标准于2022年3月31日发布，与之前的3.2.1版本相比的变化包括：

• 扩展要求 8，对持卡人数据环境的所有访问实施多因素身份验证 (MFA)。

• 更新防火墙术语以适应网络安全控制，从而支持更广泛的技术，满足传统防火墙所满足的安全目标。

• 提高组织的灵活性，以展示他们如何使用不同的方法来实现安全目标。

• 增加有针对性的风险分析，使实体能够灵活地定义执行某些活动的频率，以最适合其业务需求和风险敞口。

有关更新的详细信息可在PCI SSC 网站上的PCI DSS v4.0 变更摘要文档中找到。

什么是PCI DSS？

支付卡行业数据安全标准( PCI DSS) 的制定旨在鼓励和加强支付卡账户数据安全，并促进全球广泛采用一致的敏感数据安全措施。PCI DSS 提供了技术和操作要求的基准，旨在保护账户数据并成为整体信息安全政策的一部分。

谁必须遵守PCI DSS？

金融机构、在线支付处理商、接受支付卡的商家、处理支付卡交易、存储或访问支付卡信息的任何组织以及在卡处理生态系统的任何地方开展业务的任何服务提供商都必须遵守 PCI DSS。

PCI DSS 4.0何时生效？

PCI DSS v3.2.1 在 v4.0 发布后仍将有效两年。这为组织提供了时间熟悉新版本，并规划和实施所需的更改。实施时间表如下图所示。

与PCI DSS相关的常见障碍有哪些？

• 不遵守 PCI DSS 合规性要求可能会导致罚款、费用增加，甚至终止您处理支付卡交易的能力。

• 不能孤立地考虑遵守 PCI DSS；组织需要遵守多项安全要求以及数据保护和隐私法律或法规。另一方面，PCI 合规项目很容易被更广泛的企业安全计划所干扰。

• 与 PCI DSS 要求相关的指导和建议包括可能已经实施的常见做法。但是，有些方面，特别是与加密和多因素身份验证相关的方面，对组织来说可能是新事物，如果设计不正确，实施可能会造成破坏，对运营效率产生负面影响。

• 人们很容易最终采用基于多个专有供应商解决方案和不充分技术的碎片化安全方法，而这些方法成本高昂、操作复杂且会产生额外的漏洞。

• 有机会减少 PCI DSS 合规义务的范围，从而降低成本和影响；但是，如果组织不进行尽职调查以确保新系统和流程获得 PCI DSS 合规认证，则可能会浪费时间和金钱。

不遵守PCI DSS的相关处罚是什么？

不遵守 PCI DSS 的处罚可能包括每月罚款 5 至 10 万美元。处罚还可能包括增加审计要求，以及商业银行或信用卡品牌可能关闭信用卡活动。

我们如何帮助实现PCI DSS合规性

凭借数十年帮助银行和金融机构遵守行业法规的经验，Thales提供集成产品和服务，使您的组织能够保护存储的持卡人数据、加密传输数据、根据需要限制访问并保护管理支付交易的应用程序。此外，泰雷兹与合作伙伴密切合作，提供全面的解决方案，以减少您的 PCI DSS 合规负担范围。

满足 PCI DSS 4.0 合规性要求

要求 2：将安全配置应用于所有系统组件。

• Thales 如何提供帮助：

• 发现、分析和确定漏洞的优先级。

• 多租户和职责分离。

• 加密的非控制台管理访问。

• 解决方案：

• 数据安全

• 漏洞管理

• HSM（硬件安全模块）

• 高速加密

要求 3：保护存储的帐户数据。

• Thales 如何提供帮助：

• 发现和分类持卡人数据。

• 加密和标记持卡人数据。

• 保护 FIPS 140-2 Level 3 设备中的加密密钥。

• 密钥和机密生命周期管理。

• 解决方案：

• 数据安全

• 数据发现和分类

• 数据安全结构

• 透明加密

• Tokenization（标记化/令牌化/数据脱敏）

• 密钥管理

• HSM（硬件安全模块）

• 机密管理

要求 4：在传输过程中使用强加密技术保护持卡人数据。

• Thales 如何提供帮助：

• 在传输之前对数据进行Tokenization（标记化/令牌化/数据脱敏）和加密。

• 高速加密动态数据。

• 解决方案：

• 数据安全

• Tokenization（标记化/令牌化/数据脱敏）

• 高速加密

要求 6：开发和维护安全的系统和软件。

• Thales 如何提供帮助：

• 使用 WAF 检查所有流量，检测和防止基于 Web 的攻击。

• 仅允许在支付页面上使用授权脚本。

• 发现、分析和确定漏洞的优先级。

• 凭证和密钥的 FIPS 140-2 Level 3信任根。

• 解决方案：

• 应用安全

• Web 应用防火墙 (WAF)

• 客户端保护

• 数据安全

• 数据安全结构

• HSM（硬件安全模块）

要求 7：根据需要限制对系统组件和持卡人数据的访问。

• Thales 如何提供帮助：

• 拒绝对受保护的持卡人数据和机密的未经授权的访问。

• 职责分离和最小特权访问。

• 集中管理持卡人数据环境 (CDE) 的用户身份和基于风险的身份验证策略。

• 解决方案：

• 数据安全

• 数据安全结构

• 透明加密

• 机密管理

• 身份和访问管理

• 员工访问管理

要求 8. 识别用户并验证对系统组件的访问。

• Thales 如何提供帮助：

• 确保为每个用户分配一个唯一的凭证。

• 最广泛的身份验证方法和形式因素。

• 从一个身份验证后端集中管理策略，在云端或本地交付。

• 解决方案：

• 身份和访问管理

• 员工访问管理

• 多因素身份验证

• PKI 和 FIDO 身份验证器

要求 9：限制对持卡人数据的物理访问。

• Thales 如何提供帮助：

• 通过销毁密钥对数据进行加密和Tokenization（标记化/令牌化/数据脱敏）。

• 用于物理访问控制的智能卡。

• 解决方案：

• 数据安全

• 加密

• Tokenization（标记化/令牌化/数据脱敏）

• 身份和访问管理

• 智能卡

要求 10：记录和监控对系统组件和持卡人数据的所有访问。

• Thales 如何提供帮助：

• 对发送到 SIEM 的文件、密钥、机密的访问事件进行完整的审计跟踪。

• 7×24×365 持续验证审计活动

• 机器学习异常检测以识别可疑行为。

• 解决方案：

• 数据安全

• 数据安全结构

• 透明加密

• 机密管理

• 身份和访问管理

• 员工访问管理

要求 11 定期测试系统和网络的安全性。

• Thales如何提供帮助：

• 通过仅允许授权脚本来防止对支付页面进行未经授权的更改。

• 解决方案：

• 应用程序安全

• 客户端保护

要求 12：通过组织政策和程序支持信息安全。

• Thales如何提供帮助：

• 在云、大数据和传统数据存储中查找结构化和非结构化受监管数据。

• 如果在 CDE 之外发现易受攻击的 PAN，则自动进行数据修复。

• 解决方案：

• 数据安全

• 数据发现和分类

• 透明加密

作为Thales的合作伙伴，揽阁信息与您一同解决合规性要求的各类问题，欢迎联系揽阁信息获取更多信息。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 2026年密钥安全的新挑战和应对
• 泰国：在金融服务业合规方面应对前所未有的数字化增长
• 哪些国家和地区的合规性可以使用Luna HSM进行满足？
• 专题介绍：支付系统的HSM
• 2025年的全球合规趋势
• Thales Luna HSM v7.8.5 获得 eIDAS合规通用标准 EAL4+ 认证