符合 PCI DSS 4.0.1 对企业意味着什么 [Q&A]
![符合 PCI DSS 4.0.1 对企业意味着什么 [Q&A]](http://139.155.240.214:7031/wp-content/uploads/2025/04/3b66524706cefb6bfd3515a0d054601c_news_20250418.jpg)
快速阅读: 据《Beta新闻》最新报道,PCI DSS 4.0.1 强化了对客户端安全的关注,要求持续监控而非年度审计,以应对日益增长的浏览器端攻击风险。企业若不合规,可能面临高额罚款及信用卡接收禁令。此举旨在更好地保护消费者数据,推动整体网络安全提升。
支付卡行业数据安全标准(PCI DSS)4.0.1版对企业意味着什么?
2025年4月18日,伊恩·巴克撰文
保护支付数据的PCI DSS标准最新更新,PCI DSS 4.0.1,已于去年宣布并上个月正式生效。那么,这些新要求对企业究竟意味着什么?我们采访了网络安全平台赛赛德的首席执行官西蒙·维克曼斯,以深入了解详情。
**问:自2025年3月PCI DSS 4.0.1合规截止日期以来,组织在满足这些新要求方面面临哪些最显著的挑战?**
**答:** 根据我们的观察,组织在注意到和理解新的PCI DSS合规要求方面往往反应迟缓。尽管彻底的尽职调查和多利益相关方审批流程是企业安全的重要标志,但这些较长的实施周期必须纳入合规规划中。此外,客户端安全对许多组织而言仍是一个较新的领域,需要在团队内部开展大量的教育和意识培养工作。令人欣慰的是,这个领域的信息和教育资源正在不断增加。
另一个关键点是,新的PCI DSS规定与三年前推出的PCI DSS v4.0版本相比,范围发生了巨大变化。即便你使用的是第三方支付服务提供商的在线交易iframe,你也依然需要监控客户端安全和安全头信息。过去,人们认为可以将这部分责任推给第三方服务,但这种做法在新的范围内已不再足够。
**问:对于在全球运营且拥有多个支付系统和监管框架的企业,这些新的PCI DSS要求如何与其他数据安全标准如GDPR或区域隐私法律重叠或可能冲突?**
**答:** 我们从企业客户那里了解到,他们通常有几十个(甚至更多)网站,除了主要网站外,还包括用于特定活动或合作伙伴关系的子站点。这些网站通常由外部机构管理,并使用各种支付网关。在涉及PCI DSS时,情况与隐私法类似。每个站点都需要独立符合规定。
当涉及到第三方合作伙伴时,在出现问题时责任归属变得有些模糊。无论是大型企业还是小型公司,都需要意识到这一点,并采取自行掌控的最佳实践。与其他框架相比,PCI DSS明确指出了客户端安全,这是一个很好的事情,因为它消除了客户端执行依赖是否在范围内的疑虑。其他框架如DORA、HIPAA和SOC2在依赖管理方面的讨论较为抽象,这让大多数网站所有者不清楚自己的网站或依赖项在用户浏览器中的表现。
**问:新的要求6.4.3和11.6.1特别针对浏览器端的网页脚本。为什么这对PCI安全标准委员会来说成为一个如此关键的安全关注点?**
**答:** 公司和网络安全行业正在越来越多地投资于云安全、开源依赖安全等领域。但网络安全领域有点像漏水的桶,堵住一个漏洞后,其他漏洞会更快地出现。这就是客户端攻击中正在发生的情况。尽管使用浏览器端网页脚本的攻击已经持续了一段时间,但我们看到了明显的增加。PCI社区已经正确地注意到了这一点,并采取了必要的措施来缓解这个问题。
如今大多数信用卡盗窃发生在浏览器中,所以想象一下会话令牌、敏感信息、加密货币挖矿甚至DDoS攻击都可能源自第三方网页脚本。这正是为什么这些新要求变得如此关键的原因。
**问:许多企业仍在使用过时的安全策略来监控脚本。这在当前威胁环境下造成了哪些潜在盲点或漏洞?**
**答:** 一种常见的方法是采用内容安全策略(CSP)。这些是手动设置的规则,允许或限制脚本获取,前提是它不是来自允许的源。然而,脚本的有效负载并未被验证。去年最大的客户端攻击——Polyfill攻击——由于只有一个域名易主,近五十万个网站受到影响。几乎没有任何公司察觉到这一变化,突然间新所有者可以在访问者的浏览器中加载任何内容。我们说的是每天数百万的访问者可能在2024年2月至6月期间成为目标。而且我们不确定具体哪些,因为恶意行为者掌握了该域名,但在那段时间没有人监视。通过更改有效负载很容易发动攻击。CSP头不会阻止这一点,因为URL保持不变。这就是为什么监控加载脚本的确切有效负载如此重要。只有这样你才能确保你的用户不受影响。
**问:在PCI DSS 4.0.1中从年度审计转向持续监控。这如何改变组织需要对待其安全基础设施的方式?**
**答:** 在客户端安全领域,事实是年度审计太慢了。JavaScript设计为动态的,以便可以根据多种因素在浏览器中加载任何东西。攻击者可以在99%的时间加载安全脚本,而在1%的时间加载恶意脚本。时区、用户代理、其他脚本……这些都是攻击者可以用来规避安全系统的因素。仅仅一次年度审计就像用纸飞机去追赶战斗机——永远追不上。
**问:如果潜在处罚包括六位数的月度罚款和暂停卡接受能力,组织如何或应该在2025年的计划中优先考虑这些新要求与其他网络安全计划?**
**答:** 从这个角度来看,罚款是由于未能遵守PCI DSS和其他法规。应优先考虑满足6.4.3和11.6.1的要求,以避免失去信用卡接受能力,这对任何组织的收入流来说都是灾难性的。然而,这并不能排除其他罚款。即使你符合这两项要求,如果攻击成功渗透进来,你仍然是可能的诉讼和罚款的目标。我们还听说客户的网络保险费率会上升,无论是否合规,只要发生任何类型的攻击。事实上,网络保险公司已经要求PCI DSS合规,所以如果你只是打勾但没有实施适当的安全措施,你将面临合规违规和保险问题的风险。
**问:展望未来,您如何看待这些新的PCI要求对更广泛的网络安全格局和组织安全处理支付数据的方式产生影响?**
**答:** 看到这些规定变得更加严格是非常积极的。当然,这意味着组织需要额外的投资和工作量来遵守。然而,我们必须记住这些规定背后的核心理念:保护网站访问者——特别是关于PCI DSS的买家——在网上是安全的。最终,这也使加强安全的公司受益,因为在攻击日益增多的空间中增加了一道防线。我们很自豪成为PCI SSC联合参与组织项目的一员。这让我们能够坐下来,与理事会讨论我们在客户端安全领域看到的变化。我们只能为他们为更安全的浏览体验设定标杆而点赞。
图片来源于:Audioundwerbung/Dreamstime.com
分享推特钉住邮件短信
(以上内容均由Ai生成)
