PCI DSS 3.2.1 时钟已到达午夜时分…… 您准备好迎接 4.0 了吗？

2024年3月31日，星期日，一个全球性的重要日期已经过去。 我为什么这么说呢？ 对于任何接受消费者付款的组织来说，这是PCI DSS 3.2.1 合规标准退役的日期（2018 年 5 月 1 日 - 2024 年 3 月 31 日）。 您的组织现在正处于PCI DSS 4.0 时间表上，并且必须在 2025 年 3 月之前完成符合 4.0 标准的 SAQ 和外部组织的审核。 如果您想通过消费者支付来获得收入，不遵守 PCI DSS 4.0 是不可能的。

PCI DSS 4.0 规范是对 3.2.1 的重大升级，您可以在此处找到更改的摘要。 4.0 版引入了许多变化（以及更新的 SAQ ），但是为了达到并保持合规性，需要在总体结构中确保两个全新的领域：

• application程序编程接口（API）[2.2.7；6.2.3；6.2.4]
• 定制软件 [6.X; 8.6.2; 12.8.1]

为了简单起见，我们仅对“定制软件”的一部分进行更深入的探讨。 这是该组织为帮助促进消费者付款而构建的定制软件。 定制软件如下：

• 内部开发或从外部第三方来源开发
• 为支付应用（交易的服务器端）开发的软件或推送到消费者的网络浏览器（交易的客户端）以驱动数据收集

对于许多组织来说，一个挑战是将定制软件的安全性和 PCI DSS 合规性扩展到消费者的网络浏览器（要求 6.4.1；11.6.1）。 现在，确保交易安全不仅意味着必须确保服务器端的安全，还意味着监控和保护消费者的网络浏览器免受他们推出的“定制软件”的侵害。 并且，从第三方获取客户端网络浏览器的定制软件（例如 JavaScript）并不能免除付款收集人员对其进行监控和保护的义务。 试图追溯源头对审计员来说毫无意义。

那么，客户端定制软件有哪些要求呢？ 从第 6.4.1 节开始，内容如下：

所有在消费者浏览器中加载和执行的支付页面脚本均按以下方式管理：

• 实施一种方法来确认每个脚本是否被授权。
• 实施一种方法来确保每个脚本的完整性。
• 我们会保留所有脚本的清单，并提供书面说明来说明每个脚本的必要性。

这意味着必须对所有推出的软件（脚本）进行盘点、论证和监控，并制定补救计划，一旦发现违规行为即可进行补救。 您的应用程序/IT 安全人员是否已准备好管理、监控和报告此要求？ 您和您的团队是否与 PCI DSS 审计员讨论过安排 4.0 合规性审查？ 现在是时候确保您的安全和 PCI DSS 合规计划进展顺利，并且不会扰乱您的安全运营，更重要的是，不会扰乱您组织的收入收集。 因为保护您的交易客户端以满足 PCI DSS 4.0 合规性比您想象的要近得多。