PCI DSS v4.0 验证文件有哪些主要变化？

PCI DSS v4.0 验证文件中的变化

如果您使用 Adyen 的加密解决方案（例如在线支付集成或线下支付集成），以下是新版本 PCI DSS 中的主要变化。 这些要求适用于接受信用卡付款并使用 PCI DSS 4.0 版进行评估的商家。

SAQ A

• 新密码和扩展的多重身份验证 (MFA) 要求（要求 8）：强烈建议所有系统组件使用多重身份验证，以提供额外的安全层，防止账户数据泄露。 但是，如果未实施 MFA 并且使用密码作为唯一登录方法，则密码至少每 90 天需更改一次。或者，商家可以实施自定义方法，根据这些账户的安全设置，根据具体情况允许访问系统组件。
• 安全意识（要求 6）：商家必须及时了解国际和本地计算机应急响应小组 (CERT) 发出的有关新安全漏洞的警报或信息。
• 每季度外部漏洞扫描（要求 11）：接受电子商务付款的商家必须执行或制定相关政策和程序，要求 PCI SSC 批准的扫描供应商至少每三个月以及在支付环境发生任何重大变化后进行一次外部漏洞扫描。 虽然最初不要求在 12 个月内进行四次通过扫描，但随后年份要求至少每三个月进行一次通过扫描。 此要求立即生效。

用于线下支付（IPP）的 SAQ BIP

• IPP 设备的安全更新（要求 6）：如果商家控制安装哪些设备更新，则需要根据所识别的漏洞的严重程度和影响，在支付终端上管理和安装安全补丁。

IPP 设备上用于 MOTO 的 SAQ B-IP

• IPP 设备的安全更新（要求 6）：如果商家控制安装哪些设备更新，则需要根据所识别的漏洞的严重程度和影响，在支付终端上管理和安装安全补丁。
• 访问控制（要求 7）：此要求根据员工的工作分类和职能限制对 MOTO 支付流程中持卡人数据的临时访问。 重要的是，只有在执行工作需要时才为个人分配用户权限。

IPP 设备上用于 MOTO 的 SAQ C-VT

• 访问控制（要求 7）：与 IPP 设备上的 MOTO 非常相似，通过虚拟终端完成的 MOTO 要求通过员工的工作分类和职能来限制对 MOTO 支付流程中持卡人数据的临时访问。重要的是，只有在执行工作需要时才为个人分配用户权限。

未来日期的变化

以下要求是 2025 年 3 月 31 日之前的最佳做法，在商家评估中可能“不适用”。 仅在此日期之后进行的评估才完全在评估范围内。

SAQ A

• 新密码要求：与版本 3.2.1 中最低 7 个字符的要求不同，系统组件要求包含数字和字母的最小长度为 12 个字符（如果系统不支持 12 个字符，则最小长度为 8 个字符）。
• 监控支付页面内容的完整性（要求 6 & 11）：为了降低中间人攻击的风险，商家需要制定适当的程序（例如变更/篡改检测机制/技术）来监控/确认支付页面 HTTP 标头和脚本的完整性，包括含 TPSP 内联框架/iFrame 的网页（在商家网站/web 应用程序中执行）。

有关过渡到 PCI DSS v4.0 的更多信息，请访问 Adyen 的 PCI DSS 合规指南和我们的 PCI DSS v4.0 合规博客文章。