GSS資安電子報0215期 【強化資安稽核與合規措施：PCI-DSS 4.0 新規範下的支付業者挑戰與契機】

　　資安稽核力量與規章制度應該被視為產業創新的推動者，而非成為發展的絆腳石。支付業者應緊密關注可能對未來產業帶來影響的新法案，同時積極因應法規調整，並進行自我調整。線上安全培訓平臺  Secure Code Warrior  執行長兼共同創辦人 Pieter Dahieux  針對最新的  Payment Innovation  系列，深度分析新規範 PCI-DSS 4.0 所帶來的「正面破壞力」。

       新規範要求企業在2025年3月前調整完成，PCI-DSS 4.0 規定企業應安排開發者每年接受培訓，這不僅是合規的要求，更是建立具有資安意識之公司文化的必要步驟。透過整合資安稽核元素，企業不僅能確保法規合規性，更能夠建構出更堅固、安全的資訊環境，應對不斷變化的資安挑戰。儘管時間看似充裕，但企業必須盡快開始準備相關實施計畫，確保轉版過程能暢通無阻。

　　為達到合規性，企業必須進行對自身技術堆疊及各項元件的複雜安全流程評估及檢查，同時根據員工實施兼具廣顧及深度的安全意識培訓。資安稽核應成為這一過程中的重要環節，確保系統和元件的安全性符合最新的標準，同時提高員工對資安的認知。雖然合規性至關重要，但企業應跳脫書面上的規範，將其視為一大契機，透過資安稽核的實施，全面建立組織中的安全意識，從而創造一個全新的企業安全文化。

       對於任何只要涉及管理、儲存或傳輸持卡人資料，以及所提供的服務可能影響持卡人資料的組織，必須嚴格遵循 PCI-DSS 的規範。根據英國標準，PCI-DSS 是確保支付卡消費安全的全球標準，這意味著所有英國商家或機構在處理或傳送持卡人資料時，都必須嚴格遵循規範，以避免可能的鉅額罰款風險。

       其中一項必須在 2025 年達成的「為了有效減少程式漏洞，企業必須優先進行開發者培訓。」然而，更為關鍵的是建立一個資安稽核的機制，使企業能夠持續提高員工培訓的頻率並堅守安全意識。儘管 PCI-DSS 4.0 提出了提高安全性的措施，但除了通過資安稽核，更重要的是建立一個具有安全意識的公司文化。

資安稽核下的挑戰與契機

　　PCI-DSS 的更新是一股正面但顛覆傳統的作法且為企業帶來全新挑戰。企業為符合這套新規範，必須採用正確的工具與計劃藉以提升員工的技術，並將資安稽核融入企業的基礎架構更新計劃中，而非臨時抱佛腳。組織若選擇忽略這一點，不只監管機關甚至對整個支付公司造成威脅。監管機關則可能會針對未遵守 PCI-DSS 的商家進行罰款或其他懲罰。

　　企業必須提前更新自身的基礎架構，而非臨時抱佛腳，以免面對沈重的壓力（財務或其他方面）。然而，在採取必要措施前，企業需要確認這些努力不僅限於安全團隊。

　　企業若想趁機實現最高等級的軟體安全水平，將有賴開發人員的努力。為了達到 PCI-DSS 合規性，需要做出大量的投資（更別說其他持續進行的工程專案）對此，開發者必須：

• 評估：為了確保沒有遺漏任何事項，需在初期劃分出清楚的界線，確立需要進行評估的區域。簡言之：有哪些項目需要合規？
• 制定持續符合規範計劃：開發者必須掌握 PCI 規範的最新修改內容，確定所有必要流程都到位，進而持續維持合規性。從 3.0 過渡到 4.0 並不順利，因此我們更應為未來可能出現的 4.1 做好準備。
• 建立測試的好習慣：定期測試有助於開發者確認必要的安全協定都到位，且被妥善地維護，進而強化整體支付流程基礎架構的安全性。PCI-DSS 所要求的合規性並非一次性，所有變動也需要合規。

建立開發團隊的安全意識 & 強化資安稽核與合規措施

　　如欲讓開發者開始採取行動，以滿足 PCI-DSS 的規範，他們必須擁有充足的技能與知識，並意識到遵守規範是大家共同的責任。那麼企業要如何為此支援這些開發者呢？

　　要在達成 PIC-DSS 規範方面發揮積極的作用，就必須對安全要求與流程擁有全面性的理解。然而，PCI-DSS 4.0 強調持續地教育培訓以及採用安全軟體開發實作，因此單獨的年度培訓課程已不足以支援，必須針對相關安全實作提供定期教育培訓，才有機會提升員工技能。

　　企業必須給予開發者機會，讓他們累積與之程式語言相關的 OWASP Top 10 以及其他應用程式安全漏洞知識。同樣地，這也是一個持續進行的過程，不僅是一旦開發團隊具備安全意識，就能為整個組織帶來差異化的要素。透過這項長期投資，企業可壯大旗下開發團隊，進而實現整體安全目標。

打造安全第一的文化

　　企業需花時間準備並瞭解 PCI-DSS 的新標準與要求內容、專注於培訓與安全意識規劃，以提供開發團隊教育培訓。如此一來將有助於企業創建出具備安全意識的開發者文化，進而在未來開發出更具安全性的應用程式。初階開發者也將跟隨資深主管的帶領，共同打造一支擁有安全意識文化的團隊。

　　開發者不僅是負責讓企業符合這些規範要求地一方，若讓其理解接受更是至關重要的一步，不只能讓企業確保合規，還能將安全性嵌入於整個組織中。