PCI SSC发布认证与加密新指南

认证与加密是保护敏感数据和系统的两项核心安全控制措施。认证用于验证信息访问者身份，而加密则负责保护存储或传输中的数据。几乎所有的安全措施都在某种程度上依赖于这两项基础控制。然而，认证方法和加密标准持续演进，使得组织难以跟上当前的最佳实践。

为帮助组织应对这些变化，PCI安全标准委员会（PCI SSC）发布了两份新指南文档：《认证指南》和《加密指南》。

认证指南

《认证指南》文档全面介绍了不同的认证方法，阐述了哪些方法代表最佳实践，并提供了实施这些方法的注意事项。

这份新指南取代了2017年的《多因素认证（MFA）指南》，并显著扩展了文档范围。除多因素认证外，现还涵盖单因素认证方法，包括防钓鱼认证等新兴方法。

文档包含满足PCI DSS认证要求的具体指南，并配有清晰图表帮助解读标准中的各项认证要求。同时通过实际场景案例，帮助组织理解真正多因素认证与单因素认证之间的区别。

加密指南

《加密指南》文档阐述了如何实施符合各PCI SSC标准要求的强加密措施。文档涵盖了“双重控制”和“分割知识”等重要概念，确保没有任何个人能完全访问加密密钥。

文档附录提供了评估具体加密实施的指导，帮助确定算法是否符合强加密要求，以及在为使用的密钥设置加密周期时如何考虑适当的风险类型。

需要特别说明的是，这两份文档仅作为指南使用，不应视为强制性要求。当指南与官方PCI标准存在差异时，始终以PCI标准为准。

PCI SSC与行业利益相关方（包括全球执行顾问圆桌会议GEAR和顾问委员会BOA）合作制定了这些文档。这些现已可在PCI文档库中获取的指南文件，体现了PCI SSC致力于帮助组织在认证和加密技术持续演进过程中保持强大安全实践的承诺。

[下载认证指南文档]
[下载加密指南文档]