PCI安全标准委员会于2022年3月发布了PCI-DSS V4.0《支付卡行业数据安全服务 要求》,该标准代替了PCI-DSS V3.2。
为不影响获证企业证书的有效性,确保获证组织在一定期限内完成证书转换工作,经公司技委会研究决定,自2024年8月19日至2024年12月31日为过渡期,过渡期内旧版证书继续有效,过渡期结束即2025年1月1日后,旧版证书失效。2024年8月19日前已经受理的旧版认证申请,在与申请企业沟通无误后,可继续受理。2025年1月1日后,不再受理旧版标准的认证申请。
PCIDSS 要求适用于具有存储、处理或传输帐户数据(持卡人数据和/或敏感验证数据)环境的实体,以及具有可能影响 CDE 安全的环境的实体。一些 PCIDSS 要求也可能适用于拥有不存储、处理或传输帐户数据的环境的实体-例如,将其 CDE1的支付操作或管理外包的实体。将其支付环境或支付操作外包给第三方的实体仍有责任确保第三方根据适用的 PCIDSS 要求保护账户数据。
主帐户号(PAN)是持卡人数据的决定因素。因此,帐户数据这一术语酒盖了以下内容:完整的 PAN、与 PAN 一起出现的任何其他持卡人数据元素,以及任何敏感验证数据元素。
如果持卡人姓名、业务码和/或到期日与 PAN 一起存储、处理或传输,或以其他方式出现在 CDE中,则必须根据适用于持卡人数据的 PCIDSS 要求进行保护。
如果实体存储、处理或传输PAN,则存在适用 PCIDSS 要求的 CDE。有些要求可能不适用,例如,如果该实体不存储PAN,那么要求3中有关保护存储的 PAN 的要求将不适用于该实体。
即使实体不存储、处理或传输 PAN,一些 PCIDSS 要求仍可适用。请考虑以下情况:
如果该实体存储 SAD,要求3中专内与 SAD存储有关的要求将适用。
如果该实体聘请第三方服务提供商代表其存储、处理或传输 PAN,则要求 12 中与服务提供商管理有关的要求将适用。
如果该实体可以影响 CDE 的安全,因为实体的基础设施的安全可以影响持卡人数据的处理方式(例如,通过控制生成支付表格或页面的网络服务器),则一些要求将适用。
如果持卡人数据只存在于物理介质(如纸张)上,则要求9中与物理介质的安全和处理有关的要求将适用。
与事件响应计划有关的要求适用于所有实体,以确保在怀疑或实际违反持卡人数据保密性的情况下有程序可循。
