A PCI DSS v4.0-t 2022 márciusában adta ki a PCI SSC, és 2024. március 31-én vált kötelezővé (a v3.2.1 visszavonásával). A v4.0 számos új és módosított követelményt tartalmaz, amelyekre minden érintett szervezetnek fel kell készülnie.
A PCI DSS v4.0 főbb újdonságai
A PCI DSS v4.0 legfontosabb változásai a v3.2.1-hez képest: testreszabható megközelítés (Customized Approach): az entitások saját biztonsági kontrollokkal is teljesíthetik a célkövetelményeket, nem csak az előírt módszerekkel; MFA kötelezővé tétele: minden adminisztrátori hozzáféréshez kötelező az MFA, nem csak a távololi hozzáféréshez; jelszókövetelmények kibővítése: legalább 12 karakteres jelszavak (korábban 8 karakter volt); célzott kockázatelemzés: minden egyes követelménynél be kell mutatni, hogyan csökkenti az adott kontroll a kockázatot; webalkalmazás-biztonság kibővítése: 6.4.3 és 11.6.1 új követelmények a kliensoldali szkriptekre és az e-kereskedelmi oldal integritás-monitorozására.
6.4.3 és 11.6.1: az e-kereskedelem új kötelezettségei
A PCI DSS v4.0 két új, kizárólag az e-kereskedelemre vonatkozó követelményt tartalmaz: 6.4.3: minden kliensoldali szkriptet (JavaScript) dokumentálni és jogosulni kell a kártyabeviteli oldalakon; nem engedélyezett szkript nem futhat a checkout-oldalon; a követelmény célja: Magecart/formjacking típusú támadások megakadályozása. 11.6.1: az e-kereskedelmi oldalak tartalmát és integritását rendszeresen monitorozni kell; figyelmeztetési mechanizmus szükséges az illetéktelen módosítások esetére. Mindkét követelmény a hosted fields megoldásokkal (PCI Proxy EU) könnyebben teljesíthető, mivel a kártyabeviteli oldal nem a kereskedő infrastruktúráján fut.
Gradált megközelítés az átmeneti követelményekhez
Egyes PCI DSS v4.0 követelmények "future-dated" státusszal rendelkeznek, amelyek 2025. március 31-ig kötelezők: 12 karakteres jelszó; MFA minden CDE-hozzáféréshez; célzott kockázatelemzés dokumentálása; kliensoldali szkript-felügyeleti kontrollok. 2025. március 31-e után ezek is a teljes megfelelőségi audit részét képezik.
PCI DSS v4.0 felkészülés tokenizációval
A PCI Proxy EU hosted fields megoldás segít teljesíteni a PCI DSS v4.0 6.4.3 és 11.6.1 követelményeit, mivel a kártyabeviteli szkriptek a PCI Proxy EU infrastruktúráján futnak.
Konzultáljon szakértőnkkel