verified_user
Standardful
首頁chevron_right標準chevron_rightPCI DSS 4.0.1
現行有效國際標準update 標準更新:2024年6月fact_check 事實核查:2026年6月28日

PCI DSS 4.0.1

支付卡產業資料安全標準

apartment發布組織:支付卡產業安全標準委員會 (PCI SSC)

標準簡介

PCI DSS(支付卡產業資料安全標準)是由支付卡產業安全標準委員會(PCI SSC)制定的全球資訊安全標準,該委員會於 2006 年由主要支付卡品牌 Visa、Mastercard、American Express、Discover 和 JCB 創立。2022 年 3 月發布、2024 年 3 月 31 日強制執行的 4.0.1 是現行 v4.x 基準,建立在 2024 年 3 月 31 日強制實施的 PCI DSS 4.0 基礎上。該標準適用於所有儲存、處理或傳輸持卡人資料的實體,包括商戶、支付處理商、收單機構、發卡機構和服務提供商。PCI DSS 包含 6 大控制目標下的 12 項核心要求:建構和維護安全網路、保護持卡人資料、維護漏洞管理程式、實施強存取控制措施、定期監控和測試網路、維護資訊安全策略。

PCI DSS 4.0.1 保留 v4.0 的安全目標,並加入有限修訂與釐清。該標準同時支援規定方法和客製化方法,強化身分驗證、電子商務保護、防釣魚控制和自動化日誌審查。合規驗證取決於交易量:一級商戶通常需要由合格安全評估師(QSA)進行年度現場評估,並由認可掃描供應商(ASV)進行季度網路掃描;二至四級商戶可使用自我評估問卷(SAQ)。不合規可能導致罰款、交易費用增加以及喪失收單資格。v4.x 的未來日期要求已於 2025 年 3 月 31 日生效。

credit_card

持卡人資料保護

在整個交易生命週期內,專注於保護信用卡/簽帳金融卡的帳號、持卡人姓名、有效期以及服務代碼等資訊。

lan

網路分段

強烈建議將持卡人資料環境 (CDE) 與其他網路隔離,以縮小合規範圍並簡化合規工作。

encrypted

強加密

要求對透過開放網路傳輸的以及靜態儲存的持卡人資料進行加密,並制定明確的金鑰管理程序。

list_alt 12 項要求

  • 安裝並維護網路安全控制
  • 對所有元件套用安全配置
  • 保護儲存的帳戶資料
  • 在開放網路上加密持卡人資料
  • 防範惡意軟體
  • 開發並維護安全系統
  • 依業務需要限制存取權限
  • 識別使用者並對存取進行身分驗證

誰需要合規?

groups

任何儲存、處理或傳輸支付卡資料的組織——包括商戶、支付處理商、收單機構、發卡機構和服務提供商,與交易量無關。

關鍵要求

1

持卡人資料環境範圍界定

識別儲存、處理或傳輸持卡人資料的所有系統元件、人員和流程。合理的範圍界定是基礎——縮小範圍可減輕合規負擔。

2

弱點管理

每季進行內部和外部弱點掃描(外部掃描由 ASV 執行)。每年進行滲透測試。在規定時限內修復嚴重弱點。

3

存取控制

僅允許因工作需要的人員存取持卡人資料。對所有存取 CDE 的操作以及遠端網路存取實施多因素身分驗證。

4

記錄與監控

記錄對網路資源和持卡人資料的所有存取。每日審閱日誌。稽核記錄須保留至少 12 個月,其中 3 個月須可立即調閱。

5

事件回應計畫

建立、記錄並測試事件回應計畫。包括遏制、鑑識、通知卡組織以及事後檢討等程序。

實施路線圖

1
Phase 1schedule 預計週期: 2-4 週

準備並界定CDE範圍

識別每一個儲存、處理或傳輸持卡人資料的系統、流程和人員,並界定持卡人資料環境(CDE)。確定您的商戶等級和適用的驗證類型,並端到端地梳理帳戶資料流,以便準確了解哪些內容屬於PCI DSS的範圍。

2
Phase 2schedule 預計週期: 3-6 週

差距分析與範圍縮減

對照12項PCI DSS要求評估現有控制措施,識別與v4.0.1之間的差距。在可能的情況下,透過網路分段和消除對持卡人資料的不必要儲存來縮減範圍,然後優先整改風險最高的差距。

3
Phase 3schedule 預計週期: 8-20 週

實施控制措施

部署所需的安全控制措施,包括防火牆、強存取控制、MFA、對傳輸中和靜態持卡人資料的加密、弱點管理以及日誌記錄和監控。落實那些已於2025年3月31日生效為強制的未來生效版v4.0要求,並記錄政策和程序。

4
Phase 4schedule 預計週期: 持續進行

驗證與維護

完成相應的SAQ或由QSA出具的合規報告(ROC),取得合規證明(AOC),並執行所需的ASV掃描。透過持續監控、季度掃描、年度重新評估和及時修補來保持合規,將PCI DSS視為一項持續性計畫,而非某一時點的活動。

合規檢查清單

0 / 13

checklist 範圍界定與治理

checklist 技術控制措施

checklist 監控與驗證

處罰與執行

warning

不合規組織將面臨卡組織每月 $5,000 至 $100,000 的罰款。發生資料外洩後,成本包括鑑識調查($20K-$500K+)、詐欺責任、處理費用上升以及可能喪失受理銀行卡的資格。

常見問題解答

誰必須遵守PCI DSS?

expand_more

PCI DSS適用於任何儲存、處理或傳輸持卡人資料的實體,以及可能影響該資料安全性的實體。這包括商戶、服務提供者、處理機構和收單機構,無論其規模或交易量大小。該標準由各支付品牌和收單銀行以合約方式強制執行,而非由政府機構執行。

什麼是CDE,分段如何縮減範圍?

expand_more

持卡人資料環境(CDE)由儲存、處理或傳輸持卡人資料或敏感身分驗證資料的人員、流程和技術以及相連系統組成。網路分段利用防火牆等控制措施將CDE與網路其餘部分隔離。有效的分段可將範圍外的系統排除在評估之外,從而降低成本、風險和複雜度。

PCI DSS的12項要求是什麼?

expand_more

這12項要求歸入六大目標之下:建立並維護安全的網路和系統;保護帳戶資料;維護弱點管理計畫;實施強存取控制措施;定期監控和測試網路;以及維護資訊安全政策。它們共同涵蓋防火牆、加密、防惡意軟體、存取控制、日誌記錄、測試和治理。每一項要求都必須得到滿足,或以書面的補償性控制來處理。

什麼是商戶等級,適用於我的是SAQ還是ROC?

expand_more

商戶主要根據年交易量被劃分為四個等級,其中一級為最高,您的等級決定了您如何進行驗證。較低等級可使用自我評估問卷(SAQ)進行自我驗證,其不同類型對應不同的支付情境;而一級商戶和許多服務提供者通常需要由QSA執行的正式合規報告(ROC)。無論哪種路徑都會產生一份合規證明(AOC),最終由您的收單機構或支付品牌確認您的具體要求。

v4.0有哪些變化,2025年3月的截止日期是什麼?

expand_more

PCI DSS v4.0引入了更靈活的客製化方法,擴展了身分驗證和MFA方面的預期,並加強了對指令碼、釣魚和持續性流程的要求;v3.2.1已於2024年3月退役,v4.0.1為目前版本。一組未來生效的v4.0要求原為最佳實務,直至其於2025年3月31日成為強制要求。自該日起,評估必須納入這些新生效的控制措施。

MFA有哪些要求?

expand_more

PCI DSS要求對進入網路的所有遠端存取實施多因素驗證(MFA),並在v4.0下對進入CDE的所有存取(包括管理存取和非主控台存取)實施MFA。MFA必須結合至少兩個獨立因素,並能抵禦重放攻擊。對許多組織而言,這一MFA範圍的擴大是v4.0中較為重大的變化之一。

如果我使用像Stripe這樣的第三方處理機構,還需要PCI DSS嗎?

expand_more

需要。使用合規的第三方支付處理機構可以顯著縮減您的範圍,並可能讓您有資格使用更簡單的SAQ,但它並不消除您的PCI DSS義務。您仍需對支付的整合方式、不儲存被禁資料以及驗證合規負責,通常根據您的整合方式採用SAQ A或SAQ A-EP。外包處理轉移了責任,但並未消除責任。

不合規的處罰和後果有哪些?

expand_more

PCI DSS透過與支付品牌和收單銀行的合約強制執行,它們可以處以每月罰款、提高交易費用,或終止您接受卡支付的能力。若在不合規期間發生資料外洩,組織可能面臨重大責任、鑑識調查費用和聲譽損害。保持合規既是一項合約義務,也是一種降低風險的措施。

官方文件

查看全部

實施時間線

gavel
2006年9月
PCI SSC 成立 - 支付卡產業安全標準委員會成立
new_releases
2022年3月
PCI DSS 4.0 發布 - 引入客製化方法、增強身分驗證和新電子商務保護
check_circle
2024年3月
PCI DSS 4.0 強制實施 - 組織必須按 PCI DSS 4.0 進行評估;v3.2.1 退役
update
2024年6月
PCI DSS 4.0.1 發布 - PCI SSC 發布有限修訂和釐清
event
2025年3月
PCI DSS v4.x 未來日期要求生效 - 所有未來日期要求成為強制最佳實踐

相關分類