什么是 PCI DSS？

PCI DSS 代表支付卡行业数据安全标准。它是一组安全标准，旨在确保所有接受、处理、存储或传输信用卡信息的公司维持一个安全的环境。创建该标准是为了保护敏感的支付卡数据（例如信用卡号）免遭盗窃和欺诈。

支付卡行业数据安全标准 (PCI DSS ) 是 Visa、MASterCard、Discover Financial Services、JCB International 和 American Express 于 2004 年合作制定的一组安全协议。该合规框架由支付卡行业安全标准委员会 (PCI SSC) 监管，旨在保护信用卡和借记卡交易免遭未经授权的访问、数据泄露和欺诈活动。

什么是 PCI DSS v4.0？

PCI DSS v4.0 是支付卡行业数据安全标准 (PCI DSS) 的下一代演进。对于新的迭代，以下是 PCI 标准安全委员会为 PCI v4.0 概述的高级目标

• 持续满足支付行业安全需求
• 作为一个持续的过程来促进持卡人的安全。
• 增加灵活性和对其他方法的支持，以增强支付安全方法。
• 增强验证方法和程序以简化合规流程。

此外，PCI DSS 4.0 中还考虑了以下技术领域的潜在调整：

• 身份验证协议和密码建议。
• 增强的系统监控标准。
• 关于实施多因素认证措施的指南。

在此处了解有关 PCI DSS 4.0 要求的更多信息

PCI DSS 4.0 实施时间表

以下是您加快了解PCI DSS 4.0所需的内容。

2022 年 3 月 31 日

PCI DSS 4.0 版本

2024 年 3 月 31 日

PCI DSS 3.2.1 已停用。最佳实践要求4.0

2025 年 3 月 31 日

PCI DSS 4.0 最佳实践要求强制

为采用 PCI DSS 4.0 的后量子密码学 (PQC) 做好准备。

白宫发布了《关于促进美国在量子计算领域的领导地位，同时降低易受攻击的加密系统风险的国家安全备忘录》，也称为 NSM-10。 NSM-10 广泛讨论了降低量子计算机可能给加密带来的风险。它概述了美国国家标准与技术研究所 (NIST) 在 2024 年引入新的后量子密码 (PQC)代码时联邦机构必须遵循的各种步骤。

私营部门正式采用 NSM-10 的时间表尚不清楚。然而，受PCI DSS 合规性约束的组织已经满足了 12.3.3 的要求。在 PCI 中，DSS 4.0 在 2025 年 3 月 31 日之后成为强制要求；在此之前，它是可选的，并且可以被视为最佳实践。

PCI DSS 4.0 针对加密密码套件和协议要求定义的方法 (12.3.3)

至少每 12 个月记录和审查一次正在使用的密码套件和协议，其中至少包括以下内容：

• 所有加密密码套件和协议的最新清单，包括目的和使用地点。
• 积极监控有关所有加密密码套件和协议持续可行性的行业趋势。
• 应对加密漏洞预期变化的记录策略。

测试程序（12.3.3）

检查正在使用的加密套件和协议的文档，与人员面谈以验证文档，并对其进行审查以确保其满足 PCI DSS 4.0 要求中指定的所有元素。 

为什么后量子密码学 (PQC) 规划很重要？

由于发现漏洞或设计缺陷，协议和加密强度可能会迅速改变或被弃用。为了支持当前和未来的数据安全需求，实体需要知道加密技术的使用地点，并了解他们如何能够快速响应影响其加密实现强度的变化。

组织必须了解并为向 PQC 的过渡做好相应的准备。这包括评估他们当前的加密基础设施、识别潜在的漏洞以及计划采用新的加密方法。通过这样做，组织可以减轻与过时加密技术相关的风险，并确保敏感数据（特别是持卡人信息）的安全。

此外，使加密策略与 PCI DSS 4.0 要求保持一致对于保持合规性和保护支付卡数据至关重要。这包括实施强大的加密协议、遵守安全最佳实践以及随时了解监管更新。

NSM-10 提到各机构制定了一项迁移计划，以便在新标准发布后一年内过渡到后量子密码学 (PQC)。该计划应包括证明到 2035 年完成迁移的里程碑。

这样的计划将作为要求 12.3.3 最后一部分的证据：“应对加密漏洞预期变化的记录策略。”虽然 PQC 迁移计划解决了容易被量子计算机利用的密码学漏洞，但还必须分析其他潜在的密码学漏洞。必须记录相应的缓解计划，以确保完全符合要求 12.3.3。对于任何利用加密技术的组织来说，实施 PQC 都应该成为数据保护策略的一部分。

行业动态

监控向后量子密码学 (PQC) 过渡和 PCI DSS 4.0 合规性的关键事件和要求：

结论

实施 PCI DSS 4.0 对于组织准备转向量子安全加密至关重要。随着网络安全威胁的演变，企业必须更新其安全策略，以有效应对新出现的风险。通过遵守 PCI DSS 4.0 准则并随时了解行业发展，即使面对量子计算的进步，组织也可以主动保护敏感数据。

这种积极主动的方法加强了安全措施，并在日益数字化的环境中在利益相关者之间建立了信任。保持警惕和准备状态对于防范不断变化的威胁和确保支付卡数据的持续安全至关重要。

总之，PCI DSS 4.0 要求 12.3.3 要求组织：

• 应对加密漏洞预期变化的记录策略。
• 每年对所使用的密码进行记录和审查。
• 最新的密码学清单，包括目的和使用地点。
• 主动监控所使用的密码技术的可行性。

总体而言，PCI DSS 4.0 考虑了加密管理和加密敏捷性最佳实践，以快速响应加密协议漏洞的未来发展。揽阁信息所提供的Thales Luna HSM目前已经支持PQC（后量子算法），详情请阅读《Thales Luna Post-Quantum Crypto(PQC/抗量子加密) 功能模块 (FM)》，同时我们也欢迎您联系我们，与我们的安全专家进行深入的交流和讨论。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 通过以数据为中心的安全性增强协作：安全数据共享策略

• 勒索软件攻击：持续且不断演变的网络安全威胁

• 为什么CI/CD需要使用HSM和代码签名？

• Thales和Redhat如何保护电信公司免受API攻击

• Luna HSM的拓展密钥存储能力（SKS）