PCI DSS v4.0.1

نسخه جدید PCI DSS v4.0.1 با اصلاحات جزیی منتشر گردید:

برای پاسخ به بازخوردها و سوالات ذی‌نفعان که از زمان انتشار PCI DSS نسخه ۴.۰ در مارس ۲۰۲۲ دریافت شده است، شورای استانداردهای امنیتی PCI (PCI SSC) یک بازبینی محدود از استاندارد، PCI DSS نسخه ۴.۰.۱ را منتشر کرده است. این بازبینی شامل اصلاحات در قالب‌بندی و خطاهای تایپی و همچنین روشن کردن تمرکز و هدف برخی از الزامات و راهنمایی‌ها می‌باشد. در این بازبینی هیچ الزام جدیدی اضافه یا حذف نشده است.

برای کمک به اطمینان از اینکه تغییرات، توضیحات و راهنمایی‌های اضافی به طور مؤثر از پذیرش صنعتی PCI DSS نسخه ۴ حمایت می‌کنند، هیئت مشاوران PCI SSC، میزگرد ارزیابان اجرایی جهانی و سازمان‌های مشارکت‌کننده اصلی (از طریق گروه راهنمای فناوری) دعوت شدند تا تغییرات پیشنهادی را در دوره درخواست نظرات (RFC) که از دسامبر ۲۰۲۳ تا ژانویه ۲۰۲۴ اجرا شد، بررسی کرده و بازخورد ارائه دهند. خلاصه بازخورد RFC برای همه شرکت‌کنندگان RFC از طریق پورتال PCI SSC در دسترس است.

برای توضیح کامل تغییرات، به خلاصه تغییرات از PCI DSS نسخه ۴.۰ به ۴.۰.۱ که اکنون در کتابخانه مستندات PCI SSC موجود است، مراجعه کنید. برخی از تغییرات انجام شده در این به‌روزرسانی شامل موارد زیر است:

الزام ۳

توضیح یادداشت‌های کاربردی برای صادرکنندگان و شرکت‌هایی که از خدمات صدور پشتیبانی می‌کنند.
افزودن یک هدف رویکرد سفارشی و روشن کردن کاربرد برای سازمان‌هایی که از هش‌های رمزنگاری کلید‌دار برای غیرقابل خواندن کردن شماره‌های حساب اصلی (PAN) استفاده می‌کنند.

الزام ۶

بازگشت به زبان PCI DSS نسخه ۳.۲.۱ که نصب وصله‌ها/به‌روزرسانی‌ها ظرف ۳۰ روز فقط برای “آسیب‌پذیری‌های بحرانی” اعمال می‌شود.
افزودن یادداشت‌های کاربردی برای توضیح اینکه چگونه الزام مدیریت اسکریپت‌های صفحه پرداخت اعمال می‌شود.

الزام ۸

افزودن یک یادداشت کاربردی که احراز هویت چند عاملی برای تمام دسترسی‌های (غیر مدیریتی) به CDE برای حساب‌های کاربری که فقط با عوامل احراز هویت مقاوم در برابر فیشینگ احراز هویت می‌شوند، اعمال نمی‌شود.

الزام ۱۲

به‌روزرسانی یادداشت‌های کاربردی برای توضیح چندین نکته در مورد روابط بین مشتریان و ارائه‌دهندگان خدمات شخص ثالث (TPSPs).

پیوست‌ها

حذف قالب‌های نمونه رویکرد سفارشی از پیوست E و ارجاع به قالب‌های نمونه که در وب‌سایت PCI SSC موجود است.
افزودن تعاریف “استثنای قانونی”، “احراز هویت مقاوم در برابر فیشینگ”، و “بازدیدکننده” به پیوست G.

سوالات متداول درباره PCI DSS نسخه ۴.۰.۱

PCI DSS نسخه ۴.۰ چه زمانی بازنشسته خواهد شد؟

مانند تمام نسخه‌های جدید PCI DSS، یک دوره وجود خواهد داشت که در آن نسخه فعلی و نسخه به‌روزرسانی شده به طور همزمان فعال خواهند بود. PCI DSS نسخه ۴.۰ در ۳۱ دسامبر ۲۰۲۴ بازنشسته خواهد شد. پس از آن تاریخ، PCI DSS نسخه ۴.۰.۱ تنها نسخه فعال استاندارد خواهد بود که توسط PCI SSC پشتیبانی می‌شود.

در صورت تردید، به سوال متداول ۱۳۲۸ “کجا می‌توانم نسخه فعلی PCI DSS را پیدا کنم؟” مراجعه کنید تا جزئیات بیشتر و لینک‌های اضافی درباره انتقال به نسخه به‌روزرسانی شده PCI DSS را بیابید.

آیا PCI DSS نسخه ۴.۰.۱ تاریخ اجرایی ۳۱ مارس ۲۰۲۵ برای الزامات جدید را تغییر می‌دهد؟

خیر. این بازبینی محدود بر تاریخ اجرایی این الزامات جدید تاثیری ندارد.

آیا الزامات جدیدی در PCI DSS نسخه ۴.۰.۱ وجود دارد؟

خیر. از آنجا که این یک بازبینی محدود است، هیچ الزام جدیدی اضافه یا حذف نشده است. برای جزئیات کامل به خلاصه تغییرات از PCI DSS نسخه ۴.۰ به ۴.۰.۱ مراجعه کنید.

چه زمانی قالب گزارش انطباق (ROC) و تاییدیه‌های انطباق (AOC) PCI DSS نسخه ۴.۰.۱، همراه با پرسشنامه‌های خودارزیابی (SAQ) منتشر خواهد شد؟

قالب گزارش انطباق (ROC) و تاییدیه‌های انطباق (AOC) PCI DSS نسخه ۴.۰.۱، همراه با پرسشنامه‌های خودارزیابی (SAQ) برای انتشار در سه‌ماهه سوم برنامه‌ریزی شده‌اند و به زودی پس از آن، اسناد پشتیبانی به‌روز شده PCI DSS مانند ابزار رویکرد اولویت‌بندی شده منتشر خواهند شد.

دوره های آموزشی

برای دانلود لطفا ایمیل خود را وارد نمایید .