PCI DSS 40 要求概述

关键要点

PCI DSS 40 旨在保护信用卡信息，预防盗窃和欺诈。2025 年 4 月之前，组织需实施一系列重要控制措施。需要建立 web 应用防火墙、反钓鱼机制、多因素认证和更强的密码策略。定期风险评估和系统审查成为新要求。

来源：Meteoritka / Shutterstock

支付卡行业数据安全标准PCI DSS是一系列由支付卡行业安全标准委员会PCI SSC制定的安全要求，目的是保护信用卡信息免遭盗窃或欺诈。自 2004 年推出以来，PCI DSS经历了多次修订，以应对日益复杂的网络安全威胁。

最新的版本是 PCI DSS 40。该版本于 2022 年 3 月发布，共包含 64 项要求，其中 13 项已生效。其余 51 项被列为最佳实践，将于 2025 年 4 月生效。

理解 2025 年 PCI DSS 40 的强制控制措施

PCI DSS 40 的实施分为两个阶段。第一阶段要求组织更新文档指南并完成自我评估问卷。第二个阶段更为复杂，PCI DSS 期待组织遵循一套新的要求。让我们探讨一些组织必须在 2025 年 3 月 31 日之前实施的强制控制措施：

Web 应用防火墙

在 2023 年，研究人员追踪到针对公共 web 应用的 超过 180 亿次攻击。原因很简单：许多 web 应用编码不当、设计缺陷、配置错误，并且常常存储敏感的财务信息。

PCI DSS 特别要求组织在公共 web 应用前部署本地或基于云的 web 应用防火墙，以检查所有流量并持续检测和防止基于网络的攻击。

具体要求是，该解决方案必须持续运行、保持更新、生成审计日志，并配置为阻止网络攻击或生成可以立即调查的警报。

小火箭一元机场节点购买

反钓鱼机制

钓鱼是零售行业常见的威胁之一。威胁行为者攻击零售商，因为他们存储着诸如家庭地址、电话号码、银行账户及信用卡信息等有价值的消费者信息。联邦调查局FBI最近对此发出过警告，称钓鱼攻击正针对国家零售商员工，以获取对公司系统的未授权访问。

PCI DSS 框架的第 541 要求组织部署流程和自动化机制，以检测和保护个人免受钓鱼攻击。这包括利用反欺骗机制如基于域的信息认证DMARC、发件人策略框架SPF和域密钥识别邮件DKIM防止欺骗，并使用链接清理工具和服务器端防恶意软件解决方案。PCI DSS 还建议定期进行安全意识培训，帮助员工识别并报告钓鱼攻击。

防重放的多因素认证 (MFA)

多因素认证是一种有效的手段，能够抵御涉及身份凭证泄露的各种钓鱼攻击。然而，传统的 MFA 本身也容易受到 重放攻击即中间人攻击的影响，攻击者在发送者和接收者之间截获消息