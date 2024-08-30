监管机构非常清楚与 API 相关的风险，而企业必须证明自身采取了监视和控制措施，来防止数据泄露。

根据 Verizon 2023 年《数据泄露调查报告》，超过三分之一（37%）的数据泄露事件涉及支付卡数据泄露。PCI DSS v4.0 包含了有关多重身份验证和密码长度的新要求，以保护支付行业攻击面中的人为因素安全。

然而，需要牢记的是，数据泄露并不总是由于那些广为人知、以人为中心的攻击方式，例如通过网络钓鱼获取员工密码所导致的。

例如，18% 的电子商务攻击涉及在卡片处理网页中嵌入恶意代码。如今的攻击者越来越成熟，并将目标放在了 IT 环境中通常未得到妥善保护的自动化非人工部件上，例如 API。

根据我们的研究，78% 的企业经历过与 API 相关的安全事件。鉴于 API 威胁的紧迫性，PCI DSS v4.0 引入了新的 API 安全规则、指南和最佳实践。首先详细了解一下要求 6.2.3。