为 PCI DSS 4.0 做好准备：组织需知事项

塞尔维亚贝尔格莱德 - 2025年9月25日

理解新标准并在支付环境中构建韧性

支付卡行业数据安全标准（PCI DSS）长期以来一直是保护持卡人数据的基准。随着 4.0 版本的发布，该标准迎来十余年来最重大的一次更新。存储、处理或传输卡数据的组织必须适应强调持续安全、更强身份验证与基于风险验证的新要求。

PCI DSS 4.0 最大的变化之一是引入定制化方法。组织可在实现同等安全成果的前提下，采用替代性技术控制措施，而不再局限于规定性控制。这增加了灵活性，但也要求更严格的文档记录与验证，使专家指导在评估过程中更为重要。

更强的身份验证要求是另一亮点。现在，多因素身份验证（MFA）被要求用于所有对持卡人数据环境的访问，而不仅限于远程访问。密码策略也更新以与现代最佳实践对齐，如更长口令与自适应身份验证。

持续监控已从最佳实践上升为要求。组织必须证明日志记录、告警与漏洞扫描定期执行，且异常得到及时调查。这一转变反映合规不能是一年一次的审计任务，而必须成为日常运营的一部分。

"PCI DSS 4.0 通过使合规持续化来提高标准。我们的联合方法确保组织不仅通过审计，而且每天都保持安全，" CypSec 首席信息安全官 Frederick Roth 表示。

Infosec Assessors Group（IAG）通过开展就绪评估与差距分析帮助企业应对这些变化。其专家明确哪些要求适用于各环境，优先修复步骤，并为组织更顺利地通过审计做好准备。对许多公司而言，这种主动方式既降低合规风险，也减少运营中断。

CypSec 以自动化能力补充 IAG 的评估。其策略即代码框架持续执行 PCI DSS 4.0 控制，如加密、日志记录与访问限制。将合规嵌入日常流程，组织可避免审计前的临时突击，而将合规作为安全运营的自然结果。

为 PCI DSS 4.0 做好准备可增强与客户、伙伴与监管机构的信任。能够展示对卡数据泄露的韧性不仅避免罚款，也保护品牌声誉与业务连续性。

通过合作，Infosec Assessors Group 与 CypSec 为组织提供实现 PCI DSS 4.0 就绪的实用路径。结合专家指导与自动化治理，确保合规要求得到持续满足，并使支付环境在面对不断演变的威胁时保持安全。

关于 Infosec Assessors Group：Infosec Assessors Group（IAG）是塞尔维亚网络安全咨询公司，专精 PCI DSS、ISO 标准、渗透测试与风险管理。更多信息请访问 infosecassessors.com。

关于 CypSec：CypSec 提供企业风险管理、策略即代码与合规自动化解决方案。与 IAG 合作，帮助组织适应 PCI DSS 4.0 并强化支付安全。更多信息请访问 cypsec.de。

媒体联系人：CypSec 首席执行官 Daria Fediay - daria.fediay@cypsec.de。