Payment Card Industry 数据安全标准 PCI DSS 3.2.1 版至 4.0 版的 变更摘要 修订版 1 2022 年 5 月 文件变更 日期 修订版 首次发布 PCI DSS 3.2.1 版至 4.0 版的变更摘要。 2022 年 3 月 2022 年 5 月 说明 1 勘误表更新，以纠正 PCI DSS 4.0 要求 8.3.9 的变更描述。 确认通知：在所有使用目的和情况下，PCI SSC 网站上的英文文本应作为此文件的官方版本。当翻译文本 和英文文本之间出现任何歧义和不一致之处时，正确的内容应以该位置的英文文本为准。 PCI DSS 3.2.1版至4.0版的变更摘要 变更摘要 1 © 2006 - 2022 PCI Security Standards Council, LLC.保留所有权利。 2022 年 5 月 第i页 目录 1 简介 ......................................................................................................................................... 1 2 变更类型 .................................................................................................................................. 2 3 PCI DSS 变更摘要的导言章节 ............................................................................................... 3 4 PCI DSS 要求的一般变更摘要 ............................................................................................... 6 5 每个要求的额外变更 ............................................................................................................... 7 6 新要求摘要 ............................................................................................................................ 27 PCI DSS 3.2.1版至4.0版的变更摘要 变更摘要 1 © 2006 - 2022 PCI Security Standards Council, LLC.保留所有权利。 2022 年 5 月 第 ii 页 1 简介 本文件提供了对 PCI DSS 3.2.1 版至 PCI DSS 4.0 版的变更的高度概括和描述 ， 并没有详细说明所有 文件的修订内容。由于变更程度，应完整地审核相关标准，而不是仅仅关注这份摘要文件。 本变更摘要由以下内容组成： • 变更类型 - 提供了变更类型的概述 • PCI DSS 变更摘要的导言章节 - 总结了每个受影响章节的变更。 • PCI DSS 要求一般变更摘要 - 总结了在整个要求、测试程序和指导中所做的变更。 • 每个要求的额外变更 - 总结了要求 1-12 和附录中的额外变更。 • 新要求摘要 - 列出所有新要求、新要求适用的实体（即所有实体或仅针对服务提供商），以及 新要求的生效日期。 PCI DSS 3.2.1版至4.0版的变更摘要 变更摘要 1 © 2006 - 2022 PCI Security Standards Council, LLC.保留所有权利。 2022 年 5 月 第1页 2 变更类型 定义 变更类型 不断变化的要求 澄清或指导 结构或格式 变更是为了确保标准与新兴威胁和技术以及支付行业的变化保持一致。 示例包括新增的或修改 的要求或测试程序，或删除一项要求。 更新了措辞、解释、定义、额外指导和/或指示，以增加对特定主题的理解或提供进一步的信息或 指导。 重新组织内容，包括合并、分离和重新编号要求，以使内容保持一致。 PCI DSS 3.2.1版至4.0版的变更摘要 变更摘要 1 © 2006 - 2022 PCI Security Standards Council, LLC.保留所有权利。 2022 年 5 月 第2页 3 PCI DSS 变更摘要的导言章节 章节 变更描述 PCI DSS 3.2.1 版 PCI DSS 4.0 版 导言和 PCI 数据安 导言和 PCI 数据 添加了“限制”小标题，并澄清了 PCI DSS 并不取代 全标准概述 安全标准概述 县、州或地方法律。 变更类型 澄清或指导 扩展了 PCI DSS 资源的列表。 PCI DSS 适用性信 息 PCI DSS 适用性 信息 增加了小标题以提高可读性。 澄清或指导 澄清了部分 PCI DSS 要求可能适用于不存储、处理 或传输主帐户号码（PAN）的实体。 澄清了帐户数据、敏感验证数据（SAD）、持卡人 数据和 PAN 等术语不能互换，并有意用于 PCI DSS。 澄清了持卡人数据和 SAD 的常用元素表，是否允许 存储，以及是否必须使数据不可读。 PCI DSS 和 PA- PCI DSS 和 PCI DSS 之间的关系 SSC 软件标准之 重新调整关于 PCI DSS 和 PCI SSC 软件标准之间 不断变化的要求 的关系的章节，并提及 PA-DSS（将在 2022 年 10 间的关系 月退役）。 PCI DSS 要求的范 PCI DSS 要求的 澄清了 PCI DSS 要求的适用性和持卡人数据环境 围 范围 （CDE）的定义。 澄清或指导 扩展了 PCI DSS 适用的系统组件的示例；增加了云 和其他系统组件。 增加了“了解 PCI DSS 范围界定”图示。 PCI DSS 要求的范 PCI DSS 要求的 围 范围：年度 PCI 添加了小标题并澄清了现有内容。 澄清或指导 移出原在附录 D 中的分段图，并略作修改。 澄清或指导 DSS 范围确认 附录 D:业务设施/系 PCI DSS 要求的 统组件的分段和抽 范围：分段 样 重新命名了子章节，并更新了引用（从"网络分段"更 新为"分段"），以支持范围更广的分段控制。 PCI DSS 要求的范 PCI DSS 要求的 澄清了即使 CDE 中未使用无线并且该实体制定了禁 围：无线 范围：无线 止使用无线的政策，也必须执行异常无线检测（要 澄清或指导 求 11.2.1）。 PCI DSS 要求的 增加了子章节和相关内容。 澄清或指导 范围：加密了持 卡人数据和对 PCI DSS 3.2.1版至4.0版的变更摘要 变更摘要 1 © 2006 - 2022 PCI Security Standards Council, LLC.保留所有权利。 2022 年 5 月 第3页 章节 PCI DSS 3.2.1 版 变更描述 PCI DSS 4.0 版 变更类型 PCI DSS 范围的 影响 PCI DSS 要求的 增加了新的子章节和相关内容。 澄清或指导 澄清或指导 范围：加密了持 卡人数据和对第 三方服务提供商 的 PCI DSS 范围 的影响 PCI DSS 要求的范 PCI DSS 要求的 重新命名了子章节，添加了新内容，并重新组织了 围：使用第三方服 范围：使用第三 新子标题下的现有内容。 务提供商/外包 方服务提供商 实施 PCI DSS 到业 实施 PCI DSS 到 务正常流程的最佳 业务正常流程的 做法 最佳做法 评估商：业务设施/ 系统组件的抽样 在每个要求中增加了指导和澄清。 澄清或指导 评估商：PCI 在每个要求中，重新命名了章节并进行了更新，同 澄清或指导 DSS 评估的抽样 时增加了额外指导和澄清。 澄清了将抽样参考从测试程序中移除，以支持评估 商选择适合被测人群的样本。 移出原在附录 D 中的抽样图，并略作修改。 澄清或指导 PCI DSS 要求中 新增一节，以澄清 PCI DSS 中规定的频率和时限以 澄清或指导 使用的时限说明 及相关期望。 附录 D:业务设施/系 评估商：PCI 统组件的分段和抽 DSS 评估的抽样 样 增加了“重大变更”的解释。 补偿性控制 实施和认证 PCI 新增一节，以解释并说明实施和认证 PCI DSS 的两 DSS 的方法 种方法，即确定的方法和定制的方法。 实施和认证 PCI 将内容移至本节，位于"确定的方法"下的一个小标 DSS 的方法 题。 保护有关实体安 新增一节，以描述实体如何处理其 PCI DSS 评估中 全状态的信息 的敏感元素。 PCI DSS 要求的 新增一节，以描述每个 PCI DSS 测试程序中使用的 测试方法 测试方法，以及评估商将执行的相应预期活动。 PCI DSS 3.2.1版至4.0版的变更摘要 变更摘要 1 © 2006 - 2022 PCI Security Standards Council, LLC.保留所有权利。 不断变化的要求 结构或格式 澄清或指导 澄清或指导 2022 年 5 月 第4页 章节 变更描述 PCI DSS 3.2.1 版 PCI DSS 4.0 版 PCI DSS 评估流程 PCI DSS 评估流 包括稍作澄清。 程 将原在详细的 PCI DSS 要求和安全评估程序中的 变更类型 澄清或指导 “PCI DSS 要求不被认为已经到位......”的注释移至此 处。 其他参考资料 新增一节，列出了在 PCI DSS 要求或指导中引用的 澄清或指导 外部组织。 详细的 PCI DSS 要 详细的 PCI DSS 用插图取代了该章节第一页的内容，解释了要求 求和安全评估程序 要求和测试程序 栏、测试程序栏和指导栏中的所有元素。 澄清或指导 在该章节第一页，增加了要求的描述，并注明"仅针 对服务供应商的额外要求"。 在该章节第一页，增加了附录摘要，包