顶部、视图、业务、开发人员、手、使用、看板、板、框架、
作者：Source Defense

6.4.3 和 11.6.1 的影响以及对 PSP、商家和 QSA 的意义。
2025 年 1 月 30 日，PCI 安全标准委员会宣布对任何试图证明符合 SAQ-A 规定的商家的资格要求进行更改。根据这些变化，SAQ-A 商家将不再需要特别遵守要求 6.4.3 和 11.6.1 -但他们仍必须拥有 eSkimming 安全解决方案。PCI

委员会最近对 SAQ-A 商家资格要求的更改引发了整个 PCI 社区的讨论和争论。作为 PCI 委员会 10 月份组建的电子商务指导工作组的骄傲成员，Source Defense 一直是第一手参与者。

如果您不阅读更多内容，您应该了解以下内容：

这一变化并不意味着对绝大多数 台湾数据 商家来说会有重大变化！绝大多数商家仍需遵守 6.4.3 和 11.6.1 的要求。无法满足 SAQ-A 资格的 1、2、3 级商家，甚至大多数 4 级商家仍必须在 2025 年 3 月 31 日截止日期前满足这些要求！
第一方、第三方、第 n 方）的攻击（必须预防攻击）。”虽然对资格要求的修改可能会改变 SAQ-A 商家应对击败 eSkimming 攻击挑战的方式，但他们仍对确保客户安全负有全部责任。

关键要点：

此更改删除了对 SAQ-A 商家（小型商 重要的是回答潜在客户可 家群体的一小部分）要求 6.4.3 和 11.6.1 的明确引用。所有其他商家类型和生态系统参与者仍必须遵守这些要求。

但是，即使删除了 SAQ-A 合格商家的一些更具体的要求，基本的安全期望仍然存在，这让 PSP、商家和QSA承担着重大责任，也带来了重大机遇。

让我们分析一下哪些改变了，哪些没有改变，以及这对每个观众意味着什么。

有何改变？

SAQ-A 商家不再需要满足 6.4.3 和 11.6.1 中概述 007 數據 的特定控制要求，这些要求要求清点、证明和确保支付页面上的脚本的完整性，以及每周监控影响安全的 HTTP 标头。

但是，为了符合 SAQ-A 的要求…”商家必须确认他们的网站不会受到可能危害其电子商务系统的脚本的攻击。”

从表面上看，这一变化简化了小商户群体中一小部分人的合规性——那些符合 SAQ-A 要求中概述的“仅限电子商务”分类的人。

但实际上，它建立了循环论证并设立了一个极高的标准。

如果没有 eSkimming 安全和脚本控制，商家就不可能确认他们没有漏洞。

结果如何？删除 6.4.3 和 11.6.1 并不能消除对强大安全性的需求——它只是重新定义了实现它的方式。

这一变化还将影响许多商家能够执行的自我证明类型。无法满足上述新要求的商家将被要求完成其他形式的自我证明问卷之一，所有这些问卷都包含更多问题、控制和要求，包括 6.4.3 和 11.6.1

什么没有改变？

非 SAQ-A 商户无变化：截止日期仍为 2025 年 3 月 31 日，需遵守 6.4.3 和 11.6.1 中概述的要求
PSP 合规性无变化
PSP 仍需在 3 月 31 日截止日期前满足 6.4.3 和 11.6.1 要求。这包括脚本库存、监控和确保支付流程安全。

对商家来说意味着什么

如果您不是符合 SAQ-A 资格的商家 – 这意味着什么都没有。如果您是之前尝试证明符合 SAQ-A 资格的大型商家 – 这意味着证明资格会更加困难。实际上，理事会已经创建了循环论证 – 想要符合 SAQ-A 资格？实施 eSkimming 控制……怎么做？请参阅 6.4.3 和 11.6.1 – 基本上，这里没有游戏 – 关闭此循环！

对于 SAQ-A 商家，此更新可能会令人感到困惑。删除有关 6.4.3 和 11.6.1 的明确指导可能看起来像是一种缓解，但保护您的网站免受基于脚本的漏洞攻击的基本要求仍然存在。如果没有强大的控制，实现合规性并保护您的客户几乎是不可能的。

Source Defense 的小型商户解决方案专为像您这样的商户而设计。只需付出最少的努力和成本，您就可以实施必要的保护措施来保护您的网站并满足新的资格要求。