A PCI DSS v4.0 "future-dated" követelményei 2025. március 31-ig kötelezők. Ezek azok a követelmények, amelyek a v4.0 kiadásakor (2022) még nem voltak azonnal kötelezők, de átmeneti időszakot kaptak. 2025 márciusáig minden szervezetnek fel kell készülnie.
2025. március 31-ig kötelező future-dated követelmények
A legfontosabb 2025-ös határidős követelmények listája: 2.2.1: minden rendszer-összetevőhöz konfigurációs szabvány szükséges; 3.3.2: érzékeny hitelesítési adatok (SAD) teljes törlése a bevitel után; 3.3.3: SAD-titkosítás, ha kivételesen tárolni kell az engedélyezés előtt; 4.2.1: PAN-t tartalmazó üzenetek (e-mail, chat) titkosítása; 6.3.2: minden egyedi szoftver kódinventár-dokumentáció; 6.4.3: kliensoldali szkriptek engedélyezési listája a kártyabeviteli oldalakon; 7.2.5: rendszerfiókokhoz rendszeres jogosultság-felülvizsgálat; 8.3.6: MFA minden CDE-hozzáféréshez (nem csak remote); 8.4.2: MFA minden nem-konzol adminisztrátori hozzáféréshez; 8.6.3: interaktív bejelentkezési fiókokhoz erős hitelesítési eljárás; 9.4.7: elektronikus médiák megsemmisítési folyamatai; 10.7.2: kritikus biztonsági kontrollok meghibásodásának észlelése és megelőzése; 11.6.1: kártyabeviteli oldal integritás-monitorozása és figyelmeztetések; 12.3.2: célzott kockázatelemzés minden PCI DSS követelményhez; 12.3.3: kriptográfiai algoritmusok és kulcsok rendszeres felülvizsgálata; 12.3.4: hardveres és szoftveres leltár rendszeres felülvizsgálata.
Hogyan érinti ez az e-kereskedőket?
Az online kereskedők számára a leglényegesebb 2025-ös határidős követelmények: 6.4.3 – kliensoldali JavaScript dokumentáció és engedélyezési lista a checkout-oldalakon; 11.6.1 – az e-kereskedelmi oldal változás-monitorozása (pl. script-integritás-ellenőrzés). A PCI Proxy EU hosted fields megoldás esetén: a 6.4.3 kötelezettség könnyebb, mert a kártyabeviteli szkriptek a PCI Proxy EU domain-jén futnak, és a kereskedőnek csak saját szkriptjeit kell dokumentálni; a 11.6.1 kötelezettség a hosted fields-et nem tartalmazó saját oldalakra vonatkozik.
PCI DSS v4.0.1: a 2024-es hibajavítás
A PCI SSC 2024-ben kiadta a PCI DSS v4.0.1-et, amely korrekciós kiadás: pontosítja a 4.0 egyes kérdéses megfogalmazásait; nem tartalmaz új követelményeket; nem változtatja meg a 2025. március 31-es határidőket. Az auditok a v4.0.1 alapján folynak 2024 végétől.
PCI DSS v4.0 2025-ös felkészülés
Segítünk a 2025-ös határidős PCI DSS v4.0 követelmények teljesítésében, különösen a 6.4.3 és 11.6.1 e-kereskedelmi követelmények vonatkozásában.
Konzultáljon szakértőnkkel