要求12 在v4.0 版本也增加了安全管理方面的要求，主要体现在：

要求12.3.1-12.3.2 涉及到标准中可自行决定频率的点，通过该要求进行风险评估并确定适合的频率。

要求12.3.3 对所使用的加密套件的维护要求。

要求12.3.4 对所使用的硬软件技术的维护要求。

要求12.5.2 对PCI DSS 范围的维护要求。

要求12.6.3.1-12.6.3.2 对安全意识培训的内容要求。

要求12.10.7 强调在任何时候发现未知的持卡人数据存储位置时应采取的应急响应流程。

要求A1：针对多租户服务供应商的额外PCI DSS 要求

A1 的要求对象，从v3.2.1 的共享的主机托管商变为v4.0 的多租户服务供应商。在概要部分进行了多租户服务供应商的说明与澄清。

该章节增加了新的要求A1.1.1，A1.1.4 和A1.2.3，这三个要求均是将在2024 年3 月31 日后变为强制要求。其中A1.1.1 要求实施供应商环境与客户环境的逻辑分离；要求A1.1.4 通过渗透测试的方法确认逻辑分离的有效性；要求A1.2.3 强调对可疑和确认的安全事件和漏洞的报告流程与处理机制。