PCI DSS 4.0 对支付组织意味着什么
2022 年 6 月 15 日
2022 年 3 月 31 日,PCI 安全标准委员会 (PCI SSC) 发布了最新版本的 PCI 数据安全标准 (PCI DSS),概述了围绕支付安全建立安全措施的技术和操作要求。 它取代了无数的合规计划,以减少过去困扰流程的混乱和不一致。
当前的 4.0 版本取代了 2018 年 5 月发布的 PCI DSS 3.2.1。PCI SSC 收到了各个组织的意见,以帮助他们制定新标准。 这样做是为了帮助新指南与负责实施更新的安全控制的业务实体的现实保持一致。
自 PCI DSS 4.0 发布之日起,组织有 24 个月的时间完全过渡到新标准。 与此同时,企业需要了解 PCI DSS 3.2.1 和 4.0 之间最重要的变化及其对既定政策的影响。 最新版本试图解决更多可能有不同解释的模棱两可的领域。
让我们看看指南中最重要的变化及其对企业的影响。
更严格的多重身份验证 (MFA) 要求
PCI DSS 第 8 节现在包括对需要访问持卡人数据环境 (CDE) 的任何人实施多因素身份验证 (MFA) 的要求。 组织需要有不止一种方法来验证用户。 目标是降低攻击者伪装成合法用户并获得对公司系统的访问权限的可能性。
这意味着组织必须不再只需要一个密码即可访问。 新要求不适用于执行自动化任务的系统或应用程序帐户。 无需更新一次只能访问一个卡号以进行销售交易的销售点终端。
新的 MFA 要求适用于访问 CDE
• 从企业实体网络外部连接的任何人员
• 提供给供应商和第三方的任何远程访问
对于与 CDE 分离的系统部分的远程访问,无需应用 MFA。 它们确实适用于以下系统组件:
• 云基础设施
• 托管系统
• 本地应用程序
• 网络安全设备
• 工作站
• 服务器
• 端点
• 基于 Web 的应用程序或功能访问
任何实施的 MFA 系统都必须满足以下标准:
• 它不能容易受到重播攻击,在这种情况下,犯罪分子会拦截安全网络通信并延迟或重定向它以达到黑客的目的。
• 未经授权的限时例外,用户不得绕过 MFA 系统。
• 它需要在授予访问权限之前满足所有因素。
新密码要求
PCI DSS 4.0 更新的另一个有影响的变化是扩展密码最小长度的新要求。 企业必须要求密码长度至少为 12 个字符,而不是七个。 如果公司的系统不能支持该长度,则密码必须至少包含八个字符。 此更新仅适用于 MFA 中使用的密码和短语。
客户仅使用一个密码访问信息的服务提供商必须至少每 90 天更改一次密码。 如果没有发生这种情况,公司应自动审查这些帐户的安全性并提示进行更改。 PCI DSS 4.0 中密码政策的另一项更新包括禁止将密码硬编码到用于交互式登录的文件或脚本中。
账户管理更新
新的 PCI DSS 更新认识到需要围绕系统和应用程序帐户管理添加问责制。 许多公司允许对这些帐户进行交互式访问,它们模仿普通用户的操作。 用于交互式登录的任何系统或应用程序帐户必须按以下方式进行管理:
• 除非有特殊情况,否则停止将帐户用于交互目的
• 为交互使用的任何例外添加时间限制
• 记录允许将帐户用于交互目的的业务理由
• 获得上层管理人员的明确许可,供账户交互使用
• 在授予以这种方式使用的帐户访问权限之前确认个人用户的身份
• 将帐户采取的每项操作归因于单个用户
• 企业应配置系统和应用程序帐户,以防止未经授权的用户劫持。
存储敏感身份验证数据的新限制
第 3 节解决了围绕帐户数据的保护问题,增加了对企业的新要求,以最大限度地减少他们在获得授权之前存储的敏感身份验证数据 (SAD) 的数量。 关于保留哪些数据以及如何处理信息的标准应该在公司的保留政策中定义。
企业将需要审查第三方服务提供商 (TPSP) 保留了哪些信息,例如提供云服务的提供商,并确保它们符合这些标准。 一旦存储的数据超过保留策略中规定的期限,组织就需要找到一种方法来删除信息或使其不可恢复。
一个很好的实施实践是让自动化工具运行以监控保存 SAD 的存储区域。 所有结果都应经过验证并记录为已完成。
添加了对个人帐号的限制
另一个影响公司的数据变化是要求限制使用虚拟桌面等远程访问技术移动个人帐号 (PAN)。 公司需要实施防止未经授权的用户从远程设备复制或重新定位 PAN 信息的技术。
只有获得适当授权和合法商业理由的个人才有权移动或复制 PAN 数据。 适用于 PAN 的其他新限制包括:
• 需要密钥加密哈希以使 PAN 不可读
• 仅允许在使用辅助方法使 PAN 不可读的可移动媒体或不可移动媒体上进行加密过程
• 要求企业验证用于通过开放网络传输 PAN 的证书
加强针对恶意软件的安全保护
业务实体将对确定不会受到恶意软件攻击的系统组件进行评估。 审查的频率应取决于不良行为者攻击看似安全的公司系统基础设施的可能性。
组织还必须安装恶意软件解决方案来保护可移动电子媒体。 安全工具应在插入、连接或安装时自动扫描媒体。 或者,该解决方案应该在插入或连接可移动媒体时对所有系统或进程执行持续的行为分析。
改进对所有公司软件的跟踪
新的安全措施应该围绕面向公众的 Web 应用程序进行。 安全工具应提供对基于 Web 的攻击的持续检测和预防。 企业还必须识别并列出任何定制、自定义和第三方软件,以便更轻松地管理漏洞和补丁管理。 公司可以获得库存工具来帮助他们进行软件库存以适应这种情况。
其他 PCI DSS 4.0 更新
新的 PCI DSS 标准还要求企业实体
• 维护与客户卡交互的交互点 (POI) 设备的最新列表
• 实施自动化以执行审计日志审查
• 执行有针对性的风险分析,以提出一种方法来定义何时对所有系统组件执行日志审查
• 对任何安全控制故障提供快速响应
• 至少每 12 个月或在范围内环境发生重大变化时记录一次 PCI DSS 的范围
概括
新变化强调组织需要实施 MFA 以访问 CDE 环境。 其他更新包括关于密码安全的扩展要求、增强的恶意软件保护以及更好的系统帐户管理。
Kiuwan 提供各种安全解决方案,以帮助企业实体遵守 PCI DSS 中概述的标准。 通过安排咨询,详细了解我们如何帮助您的公司为全面实施 PCI DSS 4.0 做好准备。
