支付卡行业数据安全标准(PCI-DSS系列)v4.0旨在保护持卡人数据并维护整个行业的安全声誉。网络威胁的频率、媒介和复杂性都在不断增长和演变，需要加强保护，尤其是支付数据。

　　然而，这个新版本的PCI-DSS并不仅仅是为了提高标准。它使企业能够更灵活地保护其数据。

　　主要重点是始终保持安全。

　　支付卡行业安全标准委员会制定了从2025年3月开始达到的标准。您的合规时间将取决于您在PCI合规之旅中所处的位置以及现有认证何时到期。

　　A24在v3.2.1停用之前完成了我们自己的HSMaaS基础设施的PCI-DSS v4.0合规性评估，并于2023年11月获得了我们的第一个v4合规性证书，因此我们既是支付行业经验丰富的服务提供商，也是新标准的合规用户。

　　我们知道，通过优先考虑网络安全工作和持续改进来最大限度地降低风险和影响的方法将使您朝着正确的方向前进。

　　客户案例

　　我们的客户之一是一家公开上市的全球支付平台运营商，提供创新的产品和支付选项，使用基于云服务和API来支持全球资金流动。在英国、欧洲和澳大利亚开展业务，需要一种全球可扩展的方法。

　　挑战是多方面的：

　　实现业务和客户体验的数字化转型。

　　将应用程序迁移到Microsoft Azure并停用其自己的数据中心。

　　符合所有适用的法规和标准，包括PCI-DSS v4。

　　在将工作负载迁移到Azure的过程中，我们很快发现有些东西并不适合云：其中包括硬件安全模块和Mastercard网关。

　　再加上留住具有管理这一关键基础设施经验的熟练团队成员的挑战，需要一种替代方法。但是，如果基础架构和应用程序不再位于同一位置，这会带来对客户体验的进一步担忧。

　　解决方案

　　A24设计、构建和运营基于以下因素的合规加密基础设施解决方案泰雷兹payShield 10K HSM。基础架构位于全球安全的Equinix数据中心的云(在本例中为Microsoft Azure)附近。

　　我们负责平台的主动管理、记录和合规性，并培训主要托管人，以有效利用泰雷兹产品。重复使用现有HSM以及预置的新设备。Mastercard MPS网关也托管在同一位置，以解决无法在Azure中虚拟化的客户基础结构的所有元素。

　　结果

　　我们使这家全球支付平台提供商在悉尼、墨尔本和伦敦两大洲获得了PCI-DSS 4.0认证。

　　新的云相邻解决方案可最大限度地提高性能和客户体验。

　　在其扩展战略中为合规、安全的加密提供全球蓝图。

　　获得经验丰富、技术娴熟的全球24/7资源，与长期合作伙伴一起管理基础设施并简化运营。

　　PCI-DSS v4.0带来重大改进

　　新标准带来了重大改进，特别是在处理我们付款的系统和网络必须如何安全方面，并允许使用最新的HSM服务，包括：

　　密钥加载设备和 HSM 远程管理平台功能

　　供应商提交的设备管理信息

　　基于云的 HSM 即服务

　　多租户使用安全要求

　　行之有效的分步方法

　　为这些新要求做准备包括了解更新、评估当前系统以及实施必要的更改。您可以采取以下分步方法，以确保您的 PCI-DSS v4.0 合规性之旅能够提升您的组织。

　　从知识到行动：教育、差距分析和PCI-DSS 4.0合规性路线图

　　花点时间了解PCI-DSS v4.0中引入的关键更改，例如更严格的身份验证要求、更广泛地使用加密以及更灵活的合规性演示。这将使你能够将资源集中在它们将产生最大影响的地方，并避免不必要的工作。通过利用研讨会、网络研讨会和培训课程，寻找让所有利益相关者参与业务的方法，这些研讨会、网络研讨会和培训课程分解了这些变化如何影响他们的特定业务流程、系统安全需求和网络安全协议。

　　差距分析和风险评估

　　进行从当前状态到所需状态的全面评估过程。这首先要评估组织的合规性状态。接下来，差距分析将此状态与新要求进行比较，确定需要注意的领域，例如身份验证、加密和监控。最后，进行风险评估以识别最关键的漏洞并确定其修复的优先级。

　　合规战略规划

　　根据您的差距分析结果，制定合规性路线图，概述满足新要求的步骤。这些计划通常包括时间表、里程碑和资源分配，以及针对数据主权挑战的指导。

　　更新组织的安全政策和程序，以符合新标准，以及跨境运营者在市场和全球的其他新兴标准，是确保对持续运营和合规要求进行尽职调查的一种方式。这不仅应涵盖PCI-DSS，还应包括针对您所在市场的其他相关法规。

　　持续的技术和流程改进

　　选择并实施有助于满足新加密和身份验证要求的安全技术。您的简报并不总是直截了当的，需要评估和考虑多种解决方案。利用合作伙伴的专业知识有助于确定一种解决方案相对于另一种解决方案的优势，并更好地教育组织团队了解特定高度专业化设备的功能，这在您考虑将云解决方案集成到混合解决方案中时尤其重要。

　　如果客户需要安全加密设备(SCD)来确保PIN安全，那么其中一个领域是Thales TMD，也称为可信管理设备。紧凑、直观且独立的安全加密设备(SCD)，可实现安全对称密钥管理。泰雷兹TMD旨在以符合相关安全标准(包括PCI PIN安全等标准)的方式安全地管理和共享关键密钥。

　　还要考虑流程增强。重新设计处理持卡人数据的流程，以确保它们符合更新的标准并与您的技术解决方案保持一致，这将确保您以合规的方式运营。

　　为确保持卡人数据环境的持续合规性和安全性，组织可以从有关选择或升级其监控系统的指导中受益。此外，建立定期测试例程(例如渗透测试、漏洞扫描和安全评估)也至关重要。这些测试有助于验证实施的控制措施是否仍然有效并符合不断变化的法规。

　　此外，确保所有更改和数据流都有很好的记录，反映PCI-DSS 4.0要求的每个元素是如何满足的。

　　员工培训、供应商管理和持续支持

　　维护安全的数据处理实践需要对员工进行最新的PCI-DSS要求的持续培训。组织可以针对特定角色定制培训计划，确保关键人员了解他们的职责。此外，如果供应商处理持卡人数据，则管理其对PCI-DSS 4.0的合规性变得至关重要。最近一个客户遭受云中断的例子涉及2024年2月5日的UniSuper系统，他们的服务离线了几天。

　　影响UniSuper服务的系统中断

　　为了顺利过渡并确保持续合规，组织可以从持续的支持和咨询中受益。这种支持可以包括建立反馈机制，以解决在实施过程中或合规后出现的任何问题或困难。

　　PCI-DSS 4.0提供了更大的灵活性，可以通过使用不同的技术或方法定制实施。托管在第三方数据中心，例如Equinix公司可以带来更强大的访问控制方法，并允许在超过92个国家/地区部署。

　　通过采取深思熟虑的方法并遵循这些步骤，您可以大大简化向PCI-DSS 4.0的过渡，确保您不仅符合新要求，而且增强了整体数据安全态势。

　　A24 和泰雷兹

　　A24和泰雷兹共同使用安全且可扩展的云邻接技术，实现多云安全的独立性、可访问性和灵活性。

　　泰雷兹同类最佳技术的长效性，无论是本地部署的payShield 10k HSM还是泰雷兹托管的payShield Cloud HSM服务，纳入A24解决方案，吸引了那些热衷于挥洒资产以实现投资回报率(ROI)最大化的首席信息官CIO和首席技术官CTO。

　　关于Thales泰雷兹

　　你依靠来保护你的隐私的人依靠Thales来保护他们的数据。在涉及到数据安全方面，组织面临着越来越多的决定性时刻。无论现在是建立一个加密策略，转移到云计算，还是满足合规要求，您都可以依赖Thales来确保您的数字转型。

　　决定决定性时刻的决定性技术。

　　关于Safeploy安策

　　SafePloy安策从事信息安全业务超过20年，是泰雷兹Thales (原lmperva，Gemalto，Vormetric，SafeNet，Aladdin，Rainbow) 等公司在中国区的战略合作伙伴，为云、应用、数据、身份等提供安全保护的能力和技术支持能力，为在中国地区经营和出海开拓业务的企业，提供本地化的可信、可控、又合规的数据安全策略。

支付卡行业数据安全标准(PCI-DSS系列)v4.0旨在保护持卡人数据并维护整个行业的安全声誉。网络威胁的频率、媒介和复杂性都在不断增长和演变，需要加强保护，尤其是支付数据。