本文分析 PCI DSS 标准 4.0 版中要求 12(第 6 组“维护信息安全策略”的一部分)的变化。

要求 12:通过组织策略和计划支持信息安全

PCI  DSS v3.2.1

PCI DSS v4.0

Maintain an Information Security Policy

Maintain an Information Security Policy

R12. Maintain a policy that addresses information security for all personnel

R12. Support Information Security with Organizational Policies and Programs

PCI DSS 标准的最新要求概述了在与支付卡数据保护相关的物理和逻辑控制的整个生命周期中必须实施的管理和文件准则。在 4.0 版中,更改了此要求的名称,以强调需要策略和计划来支持组织中的信息安全工作,而不是 3.2.1 版中相同要求的名称,后者仅提及维护所有人员的信息安全策略。

随着要求名称的更改,更新/添加了以下控件:

  • 安全策略应明确包括与信息安全相关的角色和职责。这些责任必须由相关人员承担(12.3.1)。
  • 组织执行管理层的一名成员必须承担信息安全方面的职责。此角色可以是 CISO(首席信息安全官)或董事会内任何其他知识渊博的角色 (12.1.4)。
  • 与 PCI DSS v3.2.1 不同,PCI DSS v3.2.1 有多项与关键技术的使用相关的控制措施,而在 PCI DSS v4.0 中,这些控制措施已统一,仅要求存在最终用户技术的可接受使用政策、授权方的明确批准、此类技术的可接受用途以及公司批准供其员工使用的产品清单。 包括硬件和软件 (12.2.1)。

PCI DSS 要求 12 中最具代表性的变化之一可能是专注于执行风险分析。在 PCI DSS v4.0 中,需要执行特定的风险分析,并专门针对允许实体选择相关执行期以及使用自定义方法的 PCI DSS 控制。

这种新方法被称为有针对性的风险分析,旨在:

  • 确定应进行检查的理由和频率,以最大程度地减少已识别威胁对您可触及的资产造成的可能性。至少应每 12 个月审查一次风险分析 (12.3.1)。此控制自 2025 年 3 月 31 日起适用。
  • 查看并记录使用自定义方法满足特定控制时所需的证据。在这种情况下,需要管理层的书面批准,并且必须每 12 个月执行一次 (12.3.2)。
  • 由于在加密算法中发现的漏洞,PCI SSC 在 PCI DSS 的 4.0 版中包含了一个特定控件,用于检查用于环境的加密算法的安全级别 (12.3.3)。在这方面,需要:
  • 所有正在使用的密码套件和协议的最新清单,包括其基本原理和使用位置。
  • 监控使用中算法的可行性。
  • 用于响应加密漏洞变化的记录策略。
  • 同样,为了防止在组织中继续使用过时的技术,有必要对不再受其制造商支持的硬件和软件技术进行主动审查(生命周期终止 – EOL),包括管理层批准的修复过时技术的计划 (12.3.4)。此控制自 2025 年 3 月 31 日起适用。

这样一来,公司整体风险分析(如PCI DSS v3.2.1中要求的分析)的执行已经从一项要求变成了一项建议。

  • 对于服务提供商,与 PCI DSS 合规性管理相关的所有要求都集中在控制 12.4:职责 (12.4.1)、操作安全任务审查 (12.4.2) 和这些结果的记录 (12.4.2.1) 中。
  • 与 PCI DSS v3.2.1 控制 2.4 中的 PCI DSS 范围内系统组件清单相关的控制已重新定位到 PCI DSS v4.0 控制 12.5.1。
  • 为了避免 PCI DSS v3.2.1 中存在的与定义和更新 PCI DSS 合规性范围的责任相关的永恒讨论,该标准的 4.0 版明确包括一项新的控制 (12.5.2),其中实体必须至少每 12 个月(对于商家)和每 6 个月(对于服务提供商)审查 PCI DSS的范围,包括数据流、图表、系统组件、分段控制以及与第三方的连接。
  • 对于服务提供商,如果组织结构发生可能影响PCI DSS合规性的重大变化,则需要记录其对范围和控制的影响,并将此类结果报告给管理层(12.5.3)。
  • 关于安全培训
  • 明确了培训必须与每个人在银行卡数据保护中的角色保持一致 (12.6.1)
  • 培训材料应至少每 12 个月审查一次,并在必要时更新 (12.6.2)
  • 可以使用不同的通信方法进行安全培训 (12.6.3)
  • 培训应包括可能影响 CDE 安全性的威胁和漏洞(网络钓鱼、社会工程等)。此控件 (12.6.3.1) 是对控件 5.4.1 的补充,后者定义了用于检测和保护用户免受网络钓鱼攻击的技术控件。此控制自 2025 年 3 月 31 日起适用。
  • 培训应包括对最终用户技术的可接受用途的描述(12.6.3.2)。此控制自 2025 年 3 月 31 日起适用。
  • 明确了雇用员工之前的安全验证必须在现有法律限制范围内进行(12.7.1)。有趣的是,这种控制的指南包括使用对公共信息和社交网络的审查作为选择过程中的标准要素。
  • 在第三方服务提供商 (TPSP) 的管理中,术语“服务提供商”被替换为第三方服务提供商 (TPSP),并明确了将符合 PCI DSS 的 TPSP 纳入服务并不能使客户实体直接符合标准 (12.8.1)。服务提供商还需要提供有关其合规性和对其客户负责的共同要求的信息 (12.9.2)。
  • 事件管理方面,以下是该标准4.0版的变化:
  • 已经澄清,事件响应计划不仅应涵盖已确认的事件,还应涵盖可疑事件(12.10.1)。
  • 事件响应人员培训的周期应根据具体的风险分析,根据控制12.3.1确定。
  • 事件响应计划应监视和响应来自结帐页面更改和篡改检测机制 (12.10.5) 的警报。此控制自 2025 年 3 月 31 日起适用。
  • 最后,事件响应程序应处理检测到存储在未经授权位置的 PAN 数据的事件。此控件应定义识别 PAN 数据后如何处理,查看除 PAN 之外是否还涉及敏感身份验证数据,确定此类数据的来源,并修正任何现有数据泄漏。此控制自 2025 年 3 月 31 日起适用。