更新时间:2024年11月22日 阅读时长:约3分钟
相信所有处理支付卡数据的商家都已经实施了新版本PCI DSS v.4.0的最新条款。虽然许多新要求在 2025 年 3 月 31 日之前都是最佳实践,但其中传达的信息很明确,相关方需在2025年3月之前完成所有新增条款的实施工作,截止目前为止,为大家留下的仅剩不到半年的时间。
一、PCI DSS 是什么?
PCI DSS (The Payment Card Industry Data Security Standard)是由支付卡组织(如Visa、Mastercard等)和一群行业专家共同制定的全球标准,旨在确保卡支付的安全性。这套安全控制措施涵盖了信息安全的基本方面,并延伸到支付卡处理系统所涉及的人员、流程和技术。
任何存储、处理或传输支付卡数据的实体都有义务遵守PCI DSS的合规要求。该标准也适用于可能影响信用卡处理环境安全的实体,如云服务提供商、支付网关和托管服务提供商。
二、v4.0 解决了哪些问题?
该标准旨在应对支付系统中使用的新技术所带来的新风险和攻击手段。旨在实现四个主要目标:
版本 4.0 确保该标准继续解决最新的安全威胁和行业要求。
强调了持续安全监控和改进的重要性,而不是一次性的合规要求。
为组织提供了更多选项来实施适合其特定环境和业务模式的安全防控。
改进了用于验证和确认是否符合 PCI DSS 要求的方法和流程,从而确保企业拥有更强大、更可靠的安全实践。
三、v4.0中需要注意的几点重要更新:
(1)制定方法
使用全新的报告方法,基于满足安全目标而非规定性控制来测试和验证要求。
(2)角色和职责
为每项要求定义角色和职责,以推进安全作为一个持续的过程,确保有效地分配和管理任务。
(3)范围文档
以前的版本总是要求提供范围文档来支持评估,但现在要求提供详细的文档,商家每年审查一次,服务提供商则每半年审查一次。
(4)目标风险分析
根据恶意软件、应用程序和系统帐户,以及POI 检查、日志审查、漏洞管理和支付页面完整性检查的风险级别定义某些合规活动的频率。
(5)强化多因素验证 (MFA) 要求
访问持卡人数据环境 (CDE) 时始终需要 MFA,而不仅仅是管理访问,这将加强对潜在未经授权访问的安全防护。
(6)全新的电子商务模式和网络钓鱼手段要求企业需要持续应对潜在威胁
对支付页面脚本的完整性检查以及电子邮件系统进行 谨慎责任 管理。
(7)采用更优的加密和密钥管理策略
要求使用强加密密钥、用于存储 PAN 的密钥哈希、库存以及单独的密钥管理程序。
(8)增强的日志记录和监控
更全面地记录不同环境中的活动、访问和警报,自动化日志审查可以更好地检测异常情况和可疑活动。
(9)改进身份和密码安全性
强化密码要求和策略,防止暴力破解攻击。审查并关注系统和应用程序帐户,特别是具有交互式登录功能的帐户。
(10)经过身份验证的内部漏洞扫描
需要进行规划并确定范围,确保任何其他发现都能在评估时得到及时补救。
(11)漏洞管理
修复漏洞,不仅仅是修复那些被列为严重或高危的漏洞。
(12)事件响应
意外的 PAN 检测、支付页面修改等。
四、SIEM 在 PCI DSS 合规性中的作⽤
这些更新采用了以数据为中心的方法来保护持卡人的敏感数据。而对于处理持卡⼈数据的组织⽽⾔,持续遵守 PCI DSS 4.0⾄关重要。SIEM 解决⽅案可以克服保护敏感信息⽅⾯⽇益增加的挑战。
系统⽇志是调查和应对数据等安全事件的唯⼀⽅法,⼀旦在所需系统上启⽤了安全审计,就会⽣成安全信息和事件安全信息和事件管理 (SIEM) 解决⽅案可以持续监控⽹络,这是满⾜ PCI DSS 的必备条件要求。SIEM 解决⽅案可以⽣成定期审查审计信息所需的报告,并还会对那些对数据安全构成威胁的可疑活动触发警报。
五、Log360一款全面的SIEM解决方案
安固软件Log360是一款全面的SIEM解决方案,集成了数据丢失防护(DLP)和云访问安全代理(CASB)功能,帮助您遵守PCI DSS v4.0、HIPAA、SOX、FISMA和GDPR等法规要求。这个综合解决方案通过结合威胁情报、基于机器学习的异常检测和基于规则的攻击检测技术,检测、优先处理、调查和响应安全威胁。
下期我将着重分享,安固软件Log360 中的SIEM是如何满足PCI DSS v4.0各条的详细要求。
