您的组织是否准备好使用PCI DSS 4.0?

旨在确保所有公司正确安全地传输,存储或处理支付卡数据,并符合支付卡行业数据安全标准(PCI DSS)起着至关重要的作用。

PCI DSS 4

不遵守将增加数据泄露的风险,这可能导致收入,客户,品牌声誉和客户信任度的潜在损失。尽管存在这种风险, 2020 Verizon付款安全报告 研究发现,2019年,只有27.9%的全球组织保持完全PCI DSS遵从性,这标志着PCI DSS遵从性连续第三年下降。

除了合规性持续下降外,PCI DSS的当前版本(3.2.1)预计将在2021年中期被PCI DSS 4.0取代,过渡期延长。

但是,当我们进入一年中最繁忙的购物季节时,在全球流行的商业惯例大流行之中,组织不能冒险忽视对现有PCI DSS 3.2.1标准的遵守。未能达到和保持合规性会在保护敏感的持卡人数据方面造成差距,使网络罪犯容易成为攻击目标。而且,由于历史上以网络攻击的增加而闻名的假日季节,在所有处理卡数据的组织中,未能专注于合规性的组织将构成最高风险。

因此,组织需要了解哪些有关PCI DSS 4.0的知识,以及他们如何为该更新进行积极准备?

不断上升的风险和新变化

金融服务行业一直是黑客和恶意行为者的主要目标。仅去年一年,联邦贸易委员会就收到了 271,000个报告 美国的信用卡欺诈行为。随着消费者继续偏爱在线支付以及借记卡和信用卡交易,卡欺诈的患病率将继续上升。

PCI DSS的核心原理是保护持卡人数据,而在PCI DSS 4.0中,它将继续充当保护支付卡数据的重要基础。作为支付卡安全的行业领导者,支付卡行业安全标准委员会(PCI SSC)将继续评估如何发展该标准,以适应技术,风险缓解技术和威胁形势的变化。

另外,PCI SSC正在寻找为支付卡安全性和合规性引入更大灵活性的方法,以支持使用各种控制和方法来满足安全目标的组织。

总体而言,PCI DSS 4.0将 出发 至:

  • 确保PCI DSS继续满足支付行业的安全需求
  • 增加灵活性并支持其他方法以实现安全性
  • 促进安全性不断发展
  • 加强验证方法和程序

随着消费者和组织继续在线互动并开展更多业务,强制执行PCI DSS法规的需求将日益明显。

消费者在每笔交易中都共享个人身份信息(PII),并且由于该信息是跨网络共享的,因此消费者要求组织确保他们以安全的方式处理此类数据。

一旦实施,PCI DSS 4.0将更加强调安全性作为一个连续的过程,目的是促进与组织整合的流畅数据管理实践。’的整体安全性和合规性状况。

尽管PCI DSS 4.0在其最终版本发布之前仍在继续接受行业咨询,但组织要记住的潜在变化包括:

  • 身份验证,NIST MFA /密码指南的特殊考虑
  • 在可信网络上加密持卡人数据的广泛适用性
  • 监控需求以考虑技术进步
  • 关键控制的测试频率更高–例如,将指定实体补充验证(PCI DSS附录A3)中的某些要求合并到常规PCI DSS要求中

第二个征询意见(RFC)期间仍在进行中,预计PCI DSS 4.0将 在2021年中期上市。为适应实现合规性所需的预算和组织变更,PCI DSS 4.0发布后,PCI SSC将设置18个月的过渡期和执行日期。

充分利用这段时间非常关键,因此组织应制定一份详尽的实施计划,以更新报告模板和表格,并进行任何持续的监视和定期合规性验证,以满足更新的要求。

实现PCI DSS合规性的提示

最好的建议是首先确保完全符合当前标准版本。从将来计划对PCI DSS进行更新时,这将确保可以使用坚实的基准。该法规于2021年生效后,组织可以开始内部评估并为任何新要求准备其网络。

PCI DSS已经被公认为是迄今为止最详细和最规范的数据安全标准之一,并且4.0版有望比其前身更加全面。

每天发生数百万笔交易,组织已经在收集,共享和存储必须保护的大量消费者数据。即使对于目前符合PCI DSS 3.2.1的组织,建立整体数据管理策略视图以评估潜在的失误,漏洞和威胁也至关重要。为了实现这种整体观点并确保为版本4.0做好准备,组织应采取以下步骤:

  • 进行数据发现扫描 –通过对整个网络中所有数据存储进行彻底的数据发现扫描,组织可以消除其假设 数据管理实践。数据发现使组织可以更清楚地了解网络的优势和漏洞,并更好地了解PII如何流经所有存储库,包括结构化数据,非结构化数据,内部存储和云存储,以确保适当的数据管理技术。
  • 制定促进智能数据决策的策略 –一旦组织了解了数据如何在其环境中以及其所在位置流动,他们就可以使用这些基于事实的见识来制定优先考虑数据隐私的策略和策略。数据隐私取决于员工,因此组织必须花时间教育员工关于他们在组织安全中扮演的角色。这包括培训和持续的网络数据审核,以确保没有客户数据流失或遗忘。
  • 任命负责人以推动合规 –由于普通组织已经遵守了13个不同的合规性法规,因此合规性可能是压倒性的。组织应寻求任命安全合规官或内部负责人来监督正在进行的合规计划。此人应寻求成为PCI DSS的专家,通常包括向4.0和所有其他形式的合规性迈进。此外,他们可以成为确保适当的数据管理实践的首选。

自PCI DSS首次发布以来已经过去了15年,从那时起,消费者和企业大大增加了使用支付卡在线进行的交易和商业活动的数量。因此,PCI DSS的重要性与以往一样对于保护数据同样至关重要。

那些以PCI DSS为基准来不断了解其数据安全性并寻求主动方法来保护其网络安全的组织将是最成功的前进方向,通过其合规性行动获得消费者和员工的信任。

分享这个