نسخه جدید PCI DSS v4.0.1 با اصلاحات جزیی منتشر گردید:
برای پاسخ به بازخوردها و سوالات ذینفعان که از زمان انتشار PCI DSS نسخه ۴.۰ در مارس ۲۰۲۲ دریافت شده است، شورای استانداردهای امنیتی PCI (PCI SSC) یک بازبینی محدود از استاندارد، PCI DSS نسخه ۴.۰.۱ را منتشر کرده است. این بازبینی شامل اصلاحات در قالببندی و خطاهای تایپی و همچنین روشن کردن تمرکز و هدف برخی از الزامات و راهنماییها میباشد. در این بازبینی هیچ الزام جدیدی اضافه یا حذف نشده است.
برای کمک به اطمینان از اینکه تغییرات، توضیحات و راهنماییهای اضافی به طور مؤثر از پذیرش صنعتی PCI DSS نسخه ۴ حمایت میکنند، هیئت مشاوران PCI SSC، میزگرد ارزیابان اجرایی جهانی و سازمانهای مشارکتکننده اصلی (از طریق گروه راهنمای فناوری) دعوت شدند تا تغییرات پیشنهادی را در دوره درخواست نظرات (RFC) که از دسامبر ۲۰۲۳ تا ژانویه ۲۰۲۴ اجرا شد، بررسی کرده و بازخورد ارائه دهند. خلاصه بازخورد RFC برای همه شرکتکنندگان RFC از طریق پورتال PCI SSC در دسترس است.
برای توضیح کامل تغییرات، به خلاصه تغییرات از PCI DSS نسخه ۴.۰ به ۴.۰.۱ که اکنون در کتابخانه مستندات PCI SSC موجود است، مراجعه کنید. برخی از تغییرات انجام شده در این بهروزرسانی شامل موارد زیر است:
الزام ۳
توضیح یادداشتهای کاربردی برای صادرکنندگان و شرکتهایی که از خدمات صدور پشتیبانی میکنند.
افزودن یک هدف رویکرد سفارشی و روشن کردن کاربرد برای سازمانهایی که از هشهای رمزنگاری کلیددار برای غیرقابل خواندن کردن شمارههای حساب اصلی (PAN) استفاده میکنند.
الزام ۶
بازگشت به زبان PCI DSS نسخه ۳.۲.۱ که نصب وصلهها/بهروزرسانیها ظرف ۳۰ روز فقط برای “آسیبپذیریهای بحرانی” اعمال میشود.
افزودن یادداشتهای کاربردی برای توضیح اینکه چگونه الزام مدیریت اسکریپتهای صفحه پرداخت اعمال میشود.
الزام ۸
افزودن یک یادداشت کاربردی که احراز هویت چند عاملی برای تمام دسترسیهای (غیر مدیریتی) به CDE برای حسابهای کاربری که فقط با عوامل احراز هویت مقاوم در برابر فیشینگ احراز هویت میشوند، اعمال نمیشود.
الزام ۱۲
بهروزرسانی یادداشتهای کاربردی برای توضیح چندین نکته در مورد روابط بین مشتریان و ارائهدهندگان خدمات شخص ثالث (TPSPs).
پیوستها
حذف قالبهای نمونه رویکرد سفارشی از پیوست E و ارجاع به قالبهای نمونه که در وبسایت PCI SSC موجود است.
افزودن تعاریف “استثنای قانونی”، “احراز هویت مقاوم در برابر فیشینگ”، و “بازدیدکننده” به پیوست G.
سوالات متداول درباره PCI DSS نسخه ۴.۰.۱
PCI DSS نسخه ۴.۰ چه زمانی بازنشسته خواهد شد؟
مانند تمام نسخههای جدید PCI DSS، یک دوره وجود خواهد داشت که در آن نسخه فعلی و نسخه بهروزرسانی شده به طور همزمان فعال خواهند بود. PCI DSS نسخه ۴.۰ در ۳۱ دسامبر ۲۰۲۴ بازنشسته خواهد شد. پس از آن تاریخ، PCI DSS نسخه ۴.۰.۱ تنها نسخه فعال استاندارد خواهد بود که توسط PCI SSC پشتیبانی میشود.
در صورت تردید، به سوال متداول ۱۳۲۸ “کجا میتوانم نسخه فعلی PCI DSS را پیدا کنم؟” مراجعه کنید تا جزئیات بیشتر و لینکهای اضافی درباره انتقال به نسخه بهروزرسانی شده PCI DSS را بیابید.
آیا PCI DSS نسخه ۴.۰.۱ تاریخ اجرایی ۳۱ مارس ۲۰۲۵ برای الزامات جدید را تغییر میدهد؟
خیر. این بازبینی محدود بر تاریخ اجرایی این الزامات جدید تاثیری ندارد.
آیا الزامات جدیدی در PCI DSS نسخه ۴.۰.۱ وجود دارد؟
خیر. از آنجا که این یک بازبینی محدود است، هیچ الزام جدیدی اضافه یا حذف نشده است. برای جزئیات کامل به خلاصه تغییرات از PCI DSS نسخه ۴.۰ به ۴.۰.۱ مراجعه کنید.
چه زمانی قالب گزارش انطباق (ROC) و تاییدیههای انطباق (AOC) PCI DSS نسخه ۴.۰.۱، همراه با پرسشنامههای خودارزیابی (SAQ) منتشر خواهد شد؟
قالب گزارش انطباق (ROC) و تاییدیههای انطباق (AOC) PCI DSS نسخه ۴.۰.۱، همراه با پرسشنامههای خودارزیابی (SAQ) برای انتشار در سهماهه سوم برنامهریزی شدهاند و به زودی پس از آن، اسناد پشتیبانی بهروز شده PCI DSS مانند ابزار رویکرد اولویتبندی شده منتشر خواهند شد.