您应该了解的 PCI DSS 4.0.1 中的重要变化
支付卡行业数据安全标准 (PCI DSS) v3.2.1 不是刚刚于 2024 年 3 月 31 日到期,并且被 PCI DSS v4.0 取代了吗?
是的,是的。
但为了解决 PCI DSS v4.0 发布后收到的反馈和问题,PCI 安全标准委员会 (PCI SSC) 决定发布该标准的有限修订版: PCI DSS v4.0.1。 (当 PCI DSS v4.0 于 2024 年 12 月 31 日退役时,v4.0.1 将成为 PCI SSC 支持的唯一有效标准。)
在更新或构建交易安全性和合规性时,您应该了解 PCI DSS v4.0.1 中的几个重要变化。 为了简洁起见,本博客将介绍 F5应用和 API 安全解决方案解决的变化和更新。 您可以在PCI SSC网站上找到更完整的更改列表。
PCI DSS v4.0.1 中包含的最相关的更新旨在澄清客户端安全要求的范围。
谁负责什么?
要求 6.4.3
该要求规定,所有在消费者浏览器中加载和执行的支付页面脚本都应进行如下管理:
- 实施一种方法来确认每个脚本是否被授权。
- 实施一种方法来确保每个脚本的完整性。
- 所有脚本的清单都经过维护,并提供书面的业务或技术依据来说明每个脚本的必要性。
通常,商家依靠支付服务提供商或第三方服务提供商(PSP 或 TPSP)进行支付处理,这决定了消费者支付所购买商品或服务的方式。 该 PCI 要求引起了与商家使用包含支付页面的 PSP/TPSP 内联框架 (iframe) 的场景的责任模型相关的混淆。 iframe 本质上是一个为特定功能而呈现的小型网页。 脚本也可以在其上运行,使得 iframe 容易受到与父网页相同的风险。 因此,iframe 是否需要遵循与父页面相同的 PCI 要求?
v4.0.1 更新明确指出,商家仅对在自己的页面(父页面)上运行的脚本负责,而不对在 PSP/TPSP iframe 上运行的脚本负责。
最佳做法: 商家有责任与 PSP/TPSP iframe 页面供应商合作,以确保其合规且安全。 如果商家不满足此要求,他们将面临支付欺诈的问题,导致业务损失和 PCI 的严格审查。
要求 11.6.1
围绕要求 11.6.1 也包含了类似的澄清,强调了消费者浏览器收到的 HTTP 标头和脚本的安全影响系统。 这是一个重要的变化,因为 PCI 明确表示其重点是与此要求相关的风险,而不是要求对与安全无关的 HTTP 标头和脚本事件提供更广泛的保护。
PSP/TPSP 嵌入式 iframe 的责任模型也进行了更新,明确商家仅对父网页负责,PSP/TPSP 供应商负责其 iframe 中呈现的影响安全的 HTTP 标头和脚本。
时间正在流逝
距离 2025 年 3 月实施新要求的最后期限仅剩不到九个月的时间,各组织需要解决与拟议的变更和遵守 PCI DSS v4.0.1 相关的所有复杂问题。
F5 和 PCI DSS v4.0.1
F5 分布式云 Web 应用和 API 保护 (WAAP) 、分布式云机器人防御、分布式云客户端防御以及 F5 分布式云服务中的移动应用安全套件构成了保护整个企业对消费者交易的基础。 对于客户端脚本,分布式云客户端防御可以提供可见性和控制以实现合规性。 F5 分布式云服务目前符合 PCI DSS v4.0 标准,并定期接受经批准的审计公司的合规性审计。 组织必须在 2025 年 1 月 1 日之前符合 PCI DSS v4.0.1 标准,并且必须更新自我评估问卷以反映这一点。
最后但同样重要的一点是,受 PCI DSS 要求约束的组织可以预期未来几个日历季度以下文件会发生变化:
- 自我评估问卷(SAQ)
- 合规报告 (ROC)
- 合规证明 (AOC)
最佳实践: 监控https://blog.pcisecuritystandards.org以了解标准的更新或修订,并与您的 PCI DSS 审核员进行讨论,以确保您的组织能够满足 PCI DSS 要求。
要了解更多信息,请访问f5.com/products/distributed-cloud-services 。