为什么PCI DSS 4.0应该在2023年出现
保护客户数据对于任何接受在线支付信息的企业都至关重要。由领先的信用卡公司创建的支付卡行业数据安全标准(PCI DSS)确立了保护消费者信息的最佳做法。通过遵守这些标准,企业可以确保其客户的个人和财务信息是安全的。
PCI DSS安全标准适用于处理、存储或传输信用卡信息的任何业务。不遵守PCI DSS可能会导致信用卡公司高额罚款和处罚。它还可能导致客户信任的丧失,这对任何企业都是毁灭性的。
PCI DSS 4.0于2022年3月发布,并将于2025年3月取代当前的PCI DSS 3.2.1标准。这为组织遵守4.0提供了三年的过渡期。
该标准的最新版本将为一个被忽视但极其重要的安全领域带来新的关注点。在很长一段时间里,客户端威胁被忽视了,这些威胁涉及发生在客户计算机上而不是公司服务器上或两者之间的安全事件和违规行为。但随着PCI DSS 4.0的发布,这种情况正在发生变化。现在,许多新的需求都集中在客户端安全性上。
例如,要求6.3.2现在要求公司识别并列出其所有软件,包括嵌入其环境中的任何第三方软件。要求6.3.3要求使用可用的安全补丁和更新更新已知漏洞。要求6.4.1指导企业解决与面向公众的web应用程序相关的新威胁和漏洞,并解决所有已知威胁。
此外,要求6.4.2规定,应正确配置面向公共的自动化web应用程序,以检测和防止基于web的攻击。它还指出,配置应积极运行、最新,并能够阻止攻击或生成指示潜在问题的警报。最后,要求6.4.3要求组织授权在客户浏览器中加载和执行的任何脚本。
此外,第11节和第12节对客户端安全有影响,包括识别、区分优先级和解决外部和内部漏洞,以及检测和响应网络入侵和意外文件更改。
PCI DSS 4.0中包含的要求可以帮助提高客户端安全性。尽管传统的安全控制(如web应用程序防火墙)可以防止某些在线威胁,但它们并没有将覆盖范围扩展到客户的浏览器。因此,复杂的窃取恶意软件、供应链攻击、侧载和链载攻击往往未被发现,从而使企业不堪一击。
虽然内容安全策略有助于确保法规遵从性,但只有在web应用程序和网站使用保持稳定的情况下,创建和维护一个没有自动化的内容安全策略才是可行的。在动态环境中,CSP通常会失败,由于缺少有效的解决方案,因此无法确定其失败的原因。
为了遵守即将推出的PCI DSS 4.0,企业必须开始进行更改。这包括弄清楚他们拥有哪些网络资产以及它们来自何处,检查代码,并遵循PCI 4.0设置的最佳实践。这可能会给使用数千行脚本的大型企业带来问题。对于这些公司来说,分配时间筛选和标记代码行可能需要数千小时。
根据这些原则,企业应考虑使用现代安全解决方案来帮助他们遵守PCI 4.0。自动化的内容安全策略可以检测所有第一方和第三方脚本、数字资产及其可以访问的数据。然后,他们可以生成相关的内容安全策略。组织还可以阻止未经授权或不需要的网络活动,例如通过使用监控和管理工具阻止持卡人数据的导出。
PCI DSS 4.0版本的变化意味着在线企业必须采取额外措施确保其客户数据安全。想要在法规遵从性曲线上保持领先地位的公司现在应该开始做出改变,包括在攻击者能够利用这些风险之前解决普遍存在的客户端安全风险。