这两个要求的目的是确保合规性环境中的可跟踪性,以便检测恶意模式,并作为取证调查的基础,并验证环境的安全级别是否随着时间的推移继续可接受。


要求 10:记录和监控对系统组件和持卡人数据的所有访问

要求 10 定义了记录影响环境系统组件和持卡人数据的活动所需的安全控制,以便主动识别任何可疑事件并能够进行事件后调查。此要求的关键元素是事件/审核日志(或日志)及其在时间级别的同步,以确保特定事件中涉及的所有资产的活动的正确关联。

需要澄清的是,PCI DSS 4.0 版明确将持卡人进行的活动排除在此要求之外,包括员工、承包商、顾问、内部和外部供应商以及有权访问或可能影响环境安全的任何其他实体所进行的行动。

一般而言,除了重组控制措施和增加一些澄清外,这一要求没有相关变化:


管理事件日志:

  • 阐明了必须为所有系统组件和持卡人数据启用并激活审核日志。同样,需要强调的是,这些记录应仅包含其操作所需的信息,避免存储敏感数据(要求 10.2.1)。
  • 自 2025 年 3 月 31 日起,必须使用自动化工具对事件日志进行审查。此要求响应了在手动日志审查过程中最大限度地减少人为交互及其随之而来的错误率的需求。
  • 不应每天审查的事件日志(要求 10.4.1)的审查期应根据风险分析根据要求 12.3.1 进行调整。
  • 在此新版本中,所有其他与日志相关的控件(要记录的操作类型、每个事件的详细信息、日志的集中和保护、保留时间等)都不会更改。

时间同步:

在此新版本中,与时间同步相关的所有控件都不会更改。

应对关键安全系统的故障:

  • 与 PCI DSS v3.2.1 不同,在 PCI DSS v3.2.1 中,只有服务提供商需要在关键安全系统发生任何严重故障时执行检测和纠正措施,而在 PCI DSS v4.0 中,此要求已扩展到自 2025 年 3 月 31 日起受 PCI DSS 合规性影响的所有实体(要求 10.7.2) .这不仅包括受影响的关键安全控制的识别和警报,还包括旨在恢复受影响服务的活动的定义(要求 10.7.3)。这些控件巧妙地将可用性概念引入 PCI DSS 控件中,这些控件传统上旨在保护机密性和完整性。

要求 11:定期测试系统和网络的安全性

一般而言,PCI DSS 标准列出了与安全控制生命周期相关的操作,以保护支付卡数据:资产分类、选择和实施(要求 1、2、3、4、5、6、7、8 和 9)、监控(要求 10)和评估(要求 11)。控制评估阶段的目标是确定控制措施的正确应用程度,按预期工作,并在符合标准要求方面产生预期结果。所有这些操作都包含在 PCI DSS 要求 11 中。

由于攻击技术和软件漏洞的发展,以及云平台的广泛使用,要求 11 包括一系列更新,允许优化旨在评估标准要求的安全控制的活动,其中包括:

无线网络:

  • 无线网络识别过程不仅要检测和识别授权的接入点,还要检测和识别未经授权的接入点(要求 11.2.1)。这种控制的适用性既适用于允许在其设施中使用此类技术的组织,也适用于法规禁止此类技术的组织。
  • 与识别未经授权的无线接入点的响应过程(PCI DSS v3.2.1 中的 11.1.2)相关的控制已移至 PCI DSS v4.0 中的要求 12.10.5。

内部漏洞扫描:

  • 对于内部漏洞扫描,明确了所使用的工具必须使用最新的漏洞信息进行更新(要求 11.3.1)。
  • 与 PCI DSS v3.2.1 不同,未归类为关键或高风险的漏洞必须根据风险分析进行管理,并在必要时执行重新扫描(要求 11.3.1.1)。此控制自 2025 年 3 月 31 日起适用。
  • PCI DSS中最相关的变化之一可能是包含“经过身份验证的扫描”的概念。这种方法允许内部扫描超越从网络角度检测漏洞,并发展到从资产(主机)角度识别漏洞,从而提高结果的可见性,不仅包括数据网络上发布的服务的漏洞,还包括本地软件及其配置的漏洞。为此,实体必须设置具有足够权限的身份验证凭据,以便扫描工具可以使用它们。如果设备不支持身份验证,则需要记录此异常(要求 11.3.1.2)。此控制自 2025 年 3 月 31 日起适用。

外部漏洞扫描:

在此新版本中,与外部漏洞扫描相关的所有控件都不会更改。

内部和外部渗透测试:

  • 需要澄清的是:
  • 网络内部测试(或“内部渗透测试”)是指从 CDE 内部进行测试,并从受信任和不受信任的内部网络进入 CDE。
  • 外部网络测试(或“外部渗透测试”)是在受信任网络和连接到公共网络或可访问公共网络的关键系统的公开外部边界上执行的测试。
  • 渗透测试报告应至少保存 12 个月。
  • 本练习中发现的可利用漏洞应根据组织定义的风险级别进行修正(要求 11.4.4)。
  • 对于多租户提供商,这些提供商必须向其客户提供证据,证明其基础设施的渗透测试已令人满意地执行,并方便其客户运行自己的测试(要求 11.4.7)。此控制自 2025 年 3 月 31 日起适用。

入侵检测/防御系统(IDS/IPS):

  • 对于服务提供商,入侵检测或防御系统必须能够检测、警报、预防和管理恶意软件的隐蔽通信渠道(要求 11.5.1.1)。此控制自 2025 年 3 月 31 日起适用。

防止未经授权更改结帐页面:

此版本的 PCI DSS 中最令人期待的控件之一可能是防止未经授权更改结帐页面的控件。随着对电子商务网站的攻击升级,使用数字撇油器(恶意代码被开发为在捕获和泄露网站上的敏感数据时保持隐藏,相当于安装在POI设备和ATM机中的物理撇油器),PCI SSC采取行动只是时间问题。 因为这种类型的攻击既无法通过PCI DSS版本3.2.1的控制来识别也无法管理。

2017 年 4 月,PCI SSC 发布了文件《信息补充:保护电子商务的最佳实践》。本文件在其第 7.7 节“保护电子商务的最佳实践”中描述了一系列最佳实践,其中包括定期审查从商家网站到支付网关的任何网络链接(例如 URL、iFrame、API 等),以确认这些链接没有被更改以将流量重定向到未经授权的位置。尽管如此,这些行动仍未能缓解数字撇油器攻击。

PCI DSS v4.0 包含控件 11.6.1,它需要部署控件来检测支付页面上未经授权的更改和操作。 这些解决方案必须在发生未经授权的修改时提醒内部员工,并且必须至少每 7 天实施一次,或者根据实体的风险分析定期实施。

此控件 (11.6.1) 补充了 PCI DSS v4.0 控件 6.4.3,其中需要验证付款表单上加载的脚本。