สภามาตรฐานความปลอดภัย PCI (PCI SSC) ได้เผยแพร่ PCI DSS v4.0.1 ซึ่งเป็นการปรับปรุงมาตรฐาน PCI DSS v4.0 ในเดือนมีนาคม 2022 โดยมีการแก้ไขข้อผิดพลาดและปรับปรุงความชัดเจนในข้อกำหนดและแนวทางบางส่วน โดยไม่มีการเพิ่มหรือลบข้อกำหนดใดๆ เพิ่มเติม
การเปลี่ยนแปลงที่สำคัญ:
ข้อกำหนด 3: ชี้แจงข้อความที่ใช้บังคับสำหรับผู้ออกบัตรและบริษัทที่ให้บริการสนับสนุนการออกบัตร เพิ่มวัตถุประสงค์ของ Customized Approach และชี้แจงการบังคับใช้สำหรับองค์กรที่ใช้ keyed cryptographic hashes เพื่อทำให้ Primary Account Numbers (PAN) ไม่สามารถอ่านได้
ข้อกำหนด 6: กลับไปใช้ภาษาของ PCI DSS v3.2.1 ที่ระบุว่าการติดตั้งแพตช์/อัปเดตภายใน 30 วันนั้นใช้กับ "ช่องโหว่ที่สำคัญ" เท่านั้น เพิ่มข้อความที่ใช้บังคับเพื่อชี้แจงวิธีการใช้ข้อกำหนดสำหรับการจัดการสคริปต์หน้าชำระเงิน
ข้อกำหนด 8: เพิ่มข้อความที่ใช้บังคับว่า multi-factor authentication สำหรับการเข้าถึง CDE ทั้งหมด (ที่ไม่ใช่ผู้ดูแลระบบ) ไม่สามารถใช้กับบัญชีผู้ใช้ที่ตรวจสอบสิทธิ์ด้วย phishing-resistant authentication factors ได้
ข้อกำหนด 12: อัปเดตข้อความที่ใช้บังคับเพื่อชี้แจงประเด็นต่างๆ เกี่ยวกับความสัมพันธ์ระหว่างลูกค้าและผู้ให้บริการบุคคลที่สาม (TPSPs)
ภาคผนวก:
ลบเทมเพลตตัวอย่าง Customized Approach ออกจากภาคผนวก E และอ้างอิงถึงเทมเพลตตัวอย่างที่มีอยู่ในเว็บไซต์ PCI SSC
เพิ่มคำจำกัดความสำหรับ "Legal Exception," "Phishing Resistant Authentication," และ "Visitor" ในภาคผนวก G
คำถามที่พบบ่อยเกี่ยวกับ PCI DSS v4.0.1:
PCI DSS v4.0 จะถูกยกเลิกเมื่อใด? PCI DSS v4.0 จะถูกยกเลิกในวันที่ 31 ธันวาคม 2024 หลังจากนั้น PCI DSS v4.0.1 จะเป็นเวอร์ชันเดียวที่ใช้งานได้ของมาตรฐานที่ PCI SSC รองรับ
PCI DSS v4.0.1 เปลี่ยนแปลงวันที่ 31 มีนาคม 2025 ซึ่งเป็นวันที่มีผลบังคับใช้สำหรับข้อกำหนดใหม่หรือไม่? ไม่ การแก้ไขครั้งนี้ไม่มีผลกระทบต่อวันที่ข้อกำหนดใหม่เหล่านี้มีผลบังคับใช้
มีข้อกำหนดใหม่ใน PCI DSS v4.0.1 หรือไม่? ไม่ เนื่องจากนี่เป็นการแก้ไขที่จำกัด จึงไม่มีข้อกำหนดใหม่หรือข้อกำหนดที่ถูกลบออก
ต้องการข้อมูลเพิ่มเติม?
ดู PCI DSS v4.0.1 และสรุปการเปลี่ยนแปลงจาก PCI DSS v4.0 เป็น v4.0.1 ได้ใน PCI SSC Document Library
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสิ่งที่ควรพิจารณาในขณะที่องค์กรกำลังเปลี่ยนไปใช้ PCI DSS v4 โปรดดูที่บล็อก PCI Perspectives ที่นี่: PCI DSS v3.2.1 is Retiring on 31 March 2024 – Are You Ready?
คำอธิบายเกี่ยวกับการเปลี่ยนแปลงที่เกิดขึ้นกับ Self-Assessment Questionnaires สามารถดูได้ในบล็อก PCI Perspectives ที่นี่: PCI DSS v4: What’s New with Self-Assessment Questionnaires
Alphasec พร้อมให้บริการ: Alphasec มีความเชี่ยวชาญในการให้คำปรึกษาและบริการที่เกี่ยวข้องกับ PCI DSS เรามีทีมงานที่มีประสบการณ์และความรู้ความเข้าใจในมาตรฐาน PCI DSS อย่างลึกซึ้ง พร้อมที่จะช่วยให้องค์กรของคุณปฏิบัติตามข้อกำหนด PCI DSS v4.0.1 ได้อย่างมีประสิทธิภาพและประสิทธิผล ติดต่อ Alphasec วันนี้เพื่อรับคำปรึกษาฟรีและเรียนรู้เพิ่มเติมเกี่ยวกับวิธีที่เราสามารถช่วยให้องค์กรของคุณบรรลุการปฏิบัติตาม PCI DSS ได้
รายละเอียดเพิ่มเติม : https://blog.pcisecuritystandards.org/just-published-pci-dss-v4-0-1