随着支付行业安全标准不断演进，PCI DSS（支付卡行业数据安全标准）也在不断更新，旨在加强支付卡数据的保护，防止信用卡信息被盗用。自2004年发布以来，PCI DSS成为全球最重要的支付卡数据安全标准，要求涉及卡信息存储、处理、传输的企业采取一系列安全措施。

在最新发布的PCI DSS 4.0版本中，多因素认证（MFA）的要求得到了进一步强化，特别是对于所有访问卡holder数据环境（CDE）账户的访问控制。该要求将于2025年3月31日生效。今天，我们将一起探讨这些新变化的含义，并分享一些企业如何合规的实用建议。

1. 什么是PCI DSS？

PCI DSS是由全球五大支付品牌（如Visa、Mastercard等）发起的一个全球性支付卡数据安全标准，目的是保护持卡人数据的安全，减少支付卡欺诈行为。所有处理、传输或存储卡holder数据的商户及服务商，都必须遵守PCI DSS的要求。

2022年，PCI SSC发布了PCI DSS v4.0，此版本强化了安全控制，并要求到2025年3月31日前，所有企业完成过渡至新标准。新标准特别强调了多因素认证的实施，影响深远。

2. PCI DSS中的多因素认证要求

根据PCI DSS的定义，用户访问资源时，必须通过至少两种独立的身份验证因素，才能获得访问权限。这些身份验证因素包括：

你知道的（Something you know）：如密码、PIN码等；

你拥有的（Something you have）：如硬件令牌、智能卡、手机等；

你是的（Something you are）：如指纹、虹膜扫描、面部识别等。

在PCI DSS v4.0中，增加了一些关于多因素认证（MFA）新的考虑要点：

验证因素的独立性：所有认证因素必须是独立的，一个因素的泄露不会影响另一个因素的安全性；

避免重复使用同一认证因素：例如，不能用两个密码作为认证因素；

基于位置和时间的数据：可作为额外的安全信息，但必须至少使用两种认证因素。

3. PCI DSS v3.2.1 vs. PCI DSS v4.0：MFA要求的变化

在早期版本的PCI DSS（如v3.2.1）中，多因素认证仅要求管理员级别的访问使用MFA。具体要求如下：

远程网络访问（包括用户、管理员和第三方）；

非控制台管理访问CDE。

然而，PCI DSS v4.0则扩展了这一要求，所有访问CDE账户的用户都必须采用多因素认证，无论是管理员还是普通用户。

4. PCI DSS v4.0中的MFA新要求

PCI DSS v4.0对多因素认证（MFA）提出了更加严格的要求。以下是一些关键更新：

要求8.4.2：所有访问CDE的账户都必须启用MFA，而不仅仅是管理员。这适用于所有类型的系统组件，包括云环境、托管系统、工作站、服务器等。

要求8.4.2（远程访问）：即使是通过远程方式连接公司的网络，用户仍然需要先进行MFA认证，然后才能访问CDE。

要求8.5：实施和配置MFA时，必须防止重放攻击，确保认证代码仅能使用一次。

此外，新的标准还要求认证系统必须阻止用户绕过MFA，即便是管理员也不能跳过这一安全环节，除非是经过管理层批准且时间有限。

5. 如何合规？

以下是一些确保符合新要求的实用建议：

考虑抗钓鱼和无密码的MFA机制：尽管PCI DSS v4.0的MFA定义尚未包含更先进的抗钓鱼或无密码认证机制，但这些机制提供更高的安全性和更好的用户体验，企业应优先考虑。

确保所有账户都启用MFA：确保每个用户都有唯一ID，并且所有访问CDE的账户都通过MFA验证。建议审查网络和系统配置，确保所有进入CDE的访问都启用了MFA。

监控审计日志：定期监控MFA使用情况和审计日志，确保没有未授权的访问或异常活动。

遵守本地法律法规：不同地区对MFA的要求可能有所不同。企业需考虑所在地区的相关法律要求，并在合规时遵循当地规定。

PCI DSS 4.0的更新为企业带来了更严格的多因素认证要求，尤其是对于所有访问卡holder数据的账户，不再仅仅限于管理员。这一变化旨在加强数据保护、减少支付卡欺诈的风险，并确保安全标准与时俱进。虽然这些新要求将在2025年3月31日正式生效，但各企业应该提前着手准备，确保合规。

在安全形势日益严峻的今天，企业的支付安全不仅关系到数据保护，也关系到业务的长期健康发展。多因素认证是加强安全防护的核心手段之一，现在是时候对现有的身份认证系统进行升级和优化了！