组织必须立即采取行动
随着支付卡行业数据安全标准 (PCI DSS) v4.0 合规截止日期的临近，组织在支付安全之旅中面临关键时刻。最新版本引入了重大变化，要求采取更严格的措施保护支付卡信息。它包括 50 多项新要求 – 其中一项引入了前所未有的电子商务安全要求。具体来说，就是 6.4.3 和 11.6.1 下的 eSkimming 保护要求。2025年 3 月 31 日是官方合规截止日期，行业专家正在敲响警钟，要求立即采取行动。评估的时间早已过去 – 现在是采取行动的时候了！

时钟在滴答作响

VikingCloud 合规与风险 whatsapp 号码数据 服务副总裁 Michael Aminzade 在PCI 安全标准委员会最近的一篇博客文章中强调了情况的紧迫性：

“现在时间不早了。商家只剩下八个月的时间来规划和准备 PCI DSS v4.x 的变化。我们积极鼓励 VikingCloud 的客户针对未来的要求进行差距评估，为明年做好准备。 ”

这种紧迫感是有根据的。PCI DSS v4.0 是十多年来对标准的最重大更新，引入了 64 项新要求，其中 51 项是未来要求，但未来即将成为现在。这些变化的范围和复杂性要求组织立即关注并采取行动。

早期采用的优势

了解 PCI DSS v4.0 中的重 塑造当今世界的顶级营销趋势 大变化对于有效规划至关重要。新标准对支付安全的各个方面进行了多项重要更新。

最显著的变化之一是电子商务商家填写自我评估问卷 (SAQ) A。“填写自我评估问卷 (SAQ) A 的电子商务商家现在需要由经批准的扫描供应商 (ASV) 每三个月至少进行一次漏洞扫描， ”Aminzade 表示。这项新要求强调了定期进行安全评估对在线业务的重要性。

该标准还强调了数字供应链的安全。目前，数十家合作伙伴以不受监控、不受管理、不受控制的方式运行 JavaScript，必须根据要求 6.4.3 和 11.6.1 予以解决。如果您现在开始行动并使用 Source Defense 等自动化解决方案，解决问题很容易——但您每拖延一天，组织就会面临违规风险，并且到 2025 年 4 月 1 日，违规的可能性就会增加。

该标准还特别强调了对第三方服务提供商 (TPSP) 的关注。Aminzade 强调了这方面的重要性。“犯罪分子利用供应链中的弱点来获取访问权限并插入恶意软件， ”他说。“因此，在您的供应链中使用符合 PCI 标准的 TPSP 可以降低数据泄露的风险。 ”这强调了组织需要确保其合作伙伴和供应商也符合PCI DSS 标准。

PCI DSS v4.0 的另一个重大变化是引入了新的要求，这些要求明确定义并记录了组织的角色和职责。“让我们印象深刻的因素之一是，许多新要求都侧重于角色和职责。这仅仅意味着员工了解并接受过他们所承担的角色和活动的培训， ”Aminzade 说。这一变化确保所有员工都做好了充分的准备，能够有效地履行他们的安全职责。

最后，新标准要求每年进行范围确认。Aminzade 支持这一补充：“组织确实需要每年验证其 PCI DSS 范围的所有部分。因为在这个不断发展的支付世界中，事情总是在变化。 ”此要求确保组织定期审查和更新其合规范围，以跟上其支付环境的变化。

这些关键变化共同代表了 PCI DSS 领域的重大转变，要求组织采取更积极主动、更全面的支付安全方法。

eSkimming（客户端）安全性的挑战

确保客户端交互的安 007 厘米 全是实现 PCI DSS v4.0 合规性的最大障碍之一。这尤其具有挑战性，因为支付页面脚本和表单在客户端运行，限制了网站所有者检测其行为（尤其是动态加载的代码）的能力。

新标准的第 6.4.3 节规定了脚本授权、库存和完整性规定。手动实施这些要求可能非常耗费资源且非常复杂。因此，许多来自 CoalFire、VikingCloud、IBM、A-Lign、TrustedSec 等组织的世界领先 QSA 都建议客户避免使用自主开发的解决方案，而是转向 Source Defense 等组织。

利用技术实现合规

鉴于 eSkimming（客户端）安全性的复杂性和 PCI DSS v4.0 的严格要求，许多组织正在转向专门的解决方案来确保合规性。这些解决方案可以帮助自动化客户端安全性的许多方面，从而大大减少实现和保持合规性所需的时间和资源。