lp-标题-圆桌 梦之队讨论 会议
作者：Source Defense

上周，Source Defense 召集了数百家全球最大的商家、支付服务提供商、QSAC 和卡协会，听取合规和数据安全标准领域的杰出思想家讨论即将到来的截止日期和 PCI DSS 4.0 的变化。

响亮的建议？

不要等到最后一分钟。现在就开始看吧！
这些经验丰富的专 手机号码数据 业人士是《PCI DSS 版本 4 权威指南：文档、合规性和管理》的作者，他们围绕修订后的指南回答了观众的问题。

了解 PCI DSS 4.0 中的深度转变

PCI DSS 4.0 引入了新的要 我们现在就好像处在黑白 求和范式转变，主要集中在输入点数据保护的完整性——因为它被捕获在您的在线表格中！

TrustedSec 安全顾问Art Cooper表示： “安全始于客户支付之旅的开始。” “首先，从 6.4.3 开始，我们将开始查看支付页面上运行的所有脚本。然后从 11.6.1 开始，我们将监控支付页面，确保其完整性保持不变，并且没有人对其进行篡改，” Cooper 表示。“这是一个巨大的范围变化。”

Cooper 的话呼应了对整体安全模式的需求。确保传统支付机制无懈可击已不再足够；关注第一方和第三方脚本管理（您在网站上运行的数十种服务 – 如聊天、分析、多媒体、广告网络等）和客户端安全是不可协商的。

了解底层代码

信息安全治理风险 广告库 与合规顾问David Mundhenk强调了合规框架的关键变化，特别是在支付流程的细节方面。

“确保检查支付页面和支付重定向页面的源代码，并确保您准确了解其中的脚本及其作用，” Mundhenk 说道。“我建议我的客户，无论您是托管电子商务还是重定向电子商务，本质上，您都需要做好功课，尽职尽责，确保您了解正在发生的事情。”

“Source Defense 等产品和与 6.4.3 和 11.6.1 一致的方法将帮助您建立尽职调查，并确保无论您将这些内容外包还是自己托管，您都仍能一切顺利。”

时间框架的更严格定义

TrustedSec 高级安全顾问Lee Quinton扩大了讨论范围。据 Quinton 介绍，要求 11.6.1 旨在确保支付页面的完整性不受侵犯，这不仅是暂时的，也是对支付环境中腐败分子的侵犯的持续警示。

“PCI 委员会过去常用的词语有定期、偶尔或有时，”昆顿说。“现在，对于这九项要求，你必须进行有针对性的风险评估，并说明你为什么选择每天、每周、每小时或任何其他频率进行评估。”

使用已建立的解决方案

TruVantis 首席安全顾问 Jeff Hall警告不要制定定制安全计划，因为他表示这些计划管理起来很棘手，而且可能无法为您提供均衡的保护。

“这不是你一时兴起就能实现的，”霍尔说。“这是真正的合规工作，必须加以开发。你必须开发正确的控制和测试，证明一切都有效，然后记录下来。”

“我建议我的每位客户不要触碰定制方法，”库珀说。“我最好的客户——以及他们最好的客户——还不够成熟，无法自己制定定制方法，验证它，并确保它有效。”

CSP 可能无法确保实际的电子商务安全

Experian 高级信息安全经理Ben Rothke呼吁尽早采取主动的合规措施，做好全面准备。

“我们开始讨论 6.4.3 和 11.6.1，这两项要求都可以通过内容安全策略满足。现在，这可以让你获得合规性。这能让你获得安全性吗？也许不能，”他说。“人们忘记了，当你的网站被黑客入侵，重定向或 iframe 开始转到不该去的地方时，这不是支付处理器的问题。这是商家的问题。我无法告诉你我遇到过多少人不知道他们可能会以这种方式被入侵。”