最后更新于2024年4月17日星期三格林尼治标准时间13:00:00

一种总线标准安全标准委员会(一种总线标准 SSC)是一个全球性的论坛,它将来自支付和支付处理行业的利益相关者联系起来,制定和促进采用数据安全标准和相关资源,从而实现全球范围内的安全支付.

根据 一种总线标准 SSC网站, “一种总线标准安全标准是专门为在整个支付生命周期中保护支付账户数据而制定的,并使技术解决方案能够使这些数据贬值,并消除犯罪分子窃取这些数据的动机. 其中包括商家的标准, 服务提供商, 以及金融机构的安全措施, 技术和流程, 以及开发人员和供应商创建安全支付产品和解决方案的标准.”

也许一种总线标准中最知名的标准是他们的数据安全标准(一种总线标准 DSS), 提供技术和操作要求基线的全球标准是否旨在保护帐户数据. 2022年3月,一种总线标准 SSC发布了v4版本.0的标准,它取代了v3版本.2.1. 更新后的版本解决了新出现的威胁和技术,并采用创新的方法来应对新威胁. 这篇文章将介绍版本4对标准的更改.以及Rapid7如何帮助团队确保其基于云的应用程序能够有效地实现和执行遵从性的高级概述.

第4版有什么新.0,以及为什么现在很重要?

那么,为什么我们在新标准发布近两年之后还在讨论它呢? 这是因为当标准发布时,组织有两年的过渡期来采用新版本并实现v4带来的所需更改.0. 在这个过渡时期, 组织可以选择根据一种总线标准 DSS v4进行评估.0或一种总线标准 DSS v3.2.1.

对于那些还没有跳起来的人, 这是因为过渡期已于3月31日结束, 2024, 那时版本3.2.1已经退休,寻求一种总线标准 DSS认证的组织将需要遵守新的要求和最佳实践. 重要的是要注意,有一些需求是“未来的”.对于这些要求, 各组织又获得了整整一年的时间, 要求在3月31日之前进行更新, 2025.

这些变化是由全球支付行业组织的直接反馈推动的. 根据一种总线标准, 超过200个组织提供了反馈,以确保该标准继续满足复杂的要求, 不断变化的支付安全格局.

此版本更新的主要更改包括:

团队如何实现遵从性/定制方法的灵活性

一种总线标准 DSS v4的主要目标.0是为组织在如何实现其安全目标方面提供更大的灵活性. 一种总线标准 DSS v4.0引入了一种新方法-称为自定义方法-组织可以通过该方法实现和验证一种总线标准 DSS先前的控制, 组织可以选择实施补偿控制, 然而,这些仅适用于存在约束的情况——例如遗留系统或流程——影响满足需求的能力.

一种总线标准 DSS v4.现在,0为组织提供了一种方法来选择满足需求,而不是利用所述需求的其他方法. 要求12.3.2和附录D和E概述了定制的方法以及如何应用它. 为了支持客户,Rapid7的新一种总线标准 DSS v4.0遵从性包比以前的迭代提供了更多的见解. 这将导致在选择减轻和管理需求的过程中增加可见性和精细化.

有针对性的风险管理方法

除了定制的方法概念, 最重要的更新之一是引入了目标风险分析(TRA)。. tras允许组织在组织的特定操作环境中评估和响应风险. 一种总线标准委员会发布了指南一种总线标准 DSS v4 x:针对性风险分析指南,其中概述了实体可以使用的两种类型的TRAs,即执行给定控制的频率,以及当实体使用自定义方法时解决任何一种总线标准 DSS要求的第二种类型.

以帮助理解和拥有云环境中的安全风险的统一视图, Rapid7客户可以利用InsightCloudSec 分层的上下文 以及最近推出的风险评分功能. 该功能结合了各种风险信号, 给遭受有毒组合或多重风险向量的资源分配更高的风险评分.风险评分全面地分析了复合风险,并增加了妥协的可能性或影响.

增强的验证方法 & 程序

一种总线标准 DSS v4.对自我评估(SAQ)文件和合规报告(RoC)模板进行了改进, 增加它们与合规性证明中总结的信息之间的一致性,以支持组织在自我证明或与评估人员合作时的工作,以增加透明度和粒度.

新需求

一种总线标准 DSS v4.0带来了一系列新的要求,以应对新出现的威胁. 随着网络安全控制的现代化, 关于持卡人资料保护的明确指引, 过程成熟度, 该标准侧重于建立可持续的控制和治理. 虽然有相当多的更新-你可以找到详细 这里是对变化的总结 -让我们强调一些特别重要的:

  • 现在需要对所有进入持卡人数据环境(CDE)的访问进行多因素认证- req. 8.5.1
  • 敏感认证数据加密(SAD) - req. 3.3.3
  • 新的密码要求和更新的特定密码强度要求:现在的密码必须包含12个字符的特殊字符, 大写和小写-要求. 8.3.6和8.6.3
  • 访问角色和特权基于最小权限访问(LPA)。, 并且系统组件在默认情况下使用deny - req操作. 7.2.5
  • 使用自动化机制(req)执行审计日志审查. 10.4.1.1

这些控件放置基于角色的访问控制, 配置管理, 作为风险分析和持续监控的基础, 协助组织成熟并实现其安全目标. Rapid7可以帮助实现和执行这些新的控制, 提供pci相关支持的解决方案——所有这些解决方案都已更新,以符合这些新要求.

Rapid7如何支持客户获得一种总线标准 DSS v4.0合规

InsightCloudSec 允许安全团队建立, 连续测量, 并说明针对组织政策的遵从性. 这是通过遵从性包完成的, 哪些检查集可用于持续评估整个云环境——无论是单云还是多云. 该平台开箱即用,提供了数十个遵从性包, 包括用于一种总线标准 DSS v4的专用包.0.

InsightCloudSec实时评估您的云环境是否符合一种总线标准概述的要求和最佳实践,它还使团队能够识别, 评估, 并在检测到错误配置时对不兼容的资源采取行动. 如果你愿意, 您可以使用平台的本机, 无代码自动化在检测到问题时立即修复问题, 这是否意味着提醒相关的资源所有者, 直接调整配置或权限,甚至完全删除不兼容的资源,而无需任何人工干预. 来看看演示 了解更多有关InsightCloudSec如何帮助持续自动执行云安全标准的信息.

InsightAppSec 还支持针对一种总线标准 v4的测量.0要求,帮助您获得一种总线标准合规性. 它允许用户创建一种总线标准 v4.0报告,以帮助准备围绕一种总线标准合规性的审计、评估或问卷调查. 一种总线标准报告使您能够发现可能影响结果或任何这些练习的潜在问题. 最重要的是, 该报告允许您对处理支付卡数据的任何资产采取行动并保护关键漏洞. 一种总线标准遵从性审计是开箱即用的,一旦完成了要运行报告的扫描,就很容易生成.

InsightAppSec通过交叉引用实现了这种覆盖,然后将我们的100多个攻击模块套件映射到一种总线标准要求, 确定哪些攻击与特定需求相关,然后尝试利用这些攻击来利用您的应用程序,以获取应用程序可能易受攻击的区域. 然后将这些漏洞打包到一种总线标准 4中.这为您提供了对可能存在的任何漏洞的重要见解,并支持以简单的格式管理这些漏洞.

InsightVM 客户, 修订中的一个重要变化是需要对需求11执行经过身份验证的内部漏洞扫描.3.1.2. 以前版本的标准允许内部扫描而不使用凭据, 哪一个已经不够了. 有关详细信息,请参阅 这篇博文.

Rapid7提供了一系列广泛的解决方案来帮助您进行遵从性和治理工作. 联系我们团队的成员 要了解更多关于这些功能或注册免费试用.