PCI数据安全标准
一种总线标准服务
PCI审计和合规性报告
而只有一级商户和服务提供商(例如.g., 知名连锁商户)必须提交QSA领导的合规报告, 无论你的公司规模大小,收购者都可以要求你提供合规报告. 金沙乐娱app下载会引导您完成整个流程, 从范围和细分, 通过审核过程, 向相关方出具完整的合规性最终报告(ROC)和合规性认证(AOC). 如果应用不同的框架,金沙乐娱app下载还可以提供“一次审计,多次报告”的方法.
PCI差距分析
金沙乐娱app下载回顾了迄今为止所执行的PCI合规性工作, 在缩小范围方面给出清晰而有见地的指导, 采访关键员工, 执行测试程序, 并为您提供可操作的补救步骤列表,为PCI审核或自我评估问卷做好准备
ASV季度扫描
PCI要求11.2.1要求由认可扫描供应商(ASV)每季度进行一次漏洞扫描. 金沙乐娱app下载信息安全公司的ASV服务包括使用行业领先的扫描引擎进行一年的无限扫描, 一个安全的门户网站,完成相关的自我评估问卷, 安排和管理扫描, 如有需要,可与收购银行进行电子备案. 客户可以在任何时候按需使用ASV系统.
SAQ-D完成
金沙乐娱app下载信息安全可以执行访谈和预演,以协助完成PCI DSS自我评估问卷版本D (SAQ-D). 之后, 金沙乐娱app下载会与客户合作,确保正确识别持卡人数据环境,并填写适当的SAQ-D表格.
PCI Flash评估
金沙乐娱app下载的PCI专家团队执行快速评估,为您提供路线图,指导您完成个性化的PCI合规策略,重点是帮助您确定PCI范围和细分.
PCI咨询(虚拟QSA)
通过高级PCI合格安全评估员的教育, 您将收到您在PCI合规性方面所需的专家建议. 金沙乐娱app下载的PCI咨询服务, 您将听到有关当前项目的及时答案和解决方案,这些问题可能会影响PCI合规性, 你只需要支付你需要的时间.
PCI和Web应用程序安全渗透测试
渗透测试确保您符合PCI DSS要求11.3. 的方法, 范围, 报告流程与PCI DSS渗透测试要求保持一致, 包括CDE边界验证要求. 通过此测试,金沙乐娱app下载的团队评估您对安全攻击的易感性.
金沙乐娱app下载还对您的web应用程序进行“灰盒”(意味着无法访问源代码)web应用程序安全评估,以确定是否有人可能会破坏应用程序本身或其中数据的安全性. 它通过搜索可能被攻击者利用的漏洞来评估应用程序的安全性. 此测试确保符合PCI DSS要求6.6.
卡片数据发现
具有扫描文件和数据存储的能力, 金沙乐娱app下载的团队可以帮助您满足PCI要求,识别所有存储的卡数据, 可以选择将数据发现扩展到PII和/或ePHI.
PCI培训与教育
对员工进行PCI安全方面的培训(以及一般的安全意识)对于帮助您的组织改善安全状况和降低持卡人数据的风险至关重要. 金沙乐娱app下载的团队可以通过教育和培训帮助您的员工获得成功, 降低对以人为本的攻击的易感性.
准备就绪评估:PCI合规性要求
即使你已经完成了一份自我评估问卷, 即使你在内心深处相信你是顺从的, 让安全专家至少进行一次准备就绪评估是明智的. 这个过程将帮助您验证您正确地解释了PCI DSS规则,并且您的假设是有根据的. 经常, 商家在不知不觉中或无意中误解了PCI合规性指南,并错误地指出了合规性.
什么是准备就绪评估?
准备就绪评估可以帮助您在未来更有信心地进行自我评估,并帮助您更多地了解安全措施如何以及为什么有效. 经常, 准备就绪评估揭示了在未来更可靠、更经济有效地管理您的安全的机会.
准备评估的三个步骤
- 弄清楚持卡人数据在您的环境中存储、处理或传输的位置. 在您的业务流程中,数据是在哪里捕获的?如何处理数据? 评估员将通过您的网络跟踪卡片数据流, 无论它是传输到数据库还是第三方站点. 他们还会在意想不到的地方彻底搜索卡片数据:存储在文件共享系统的电子表格中, 或者浏览你的电子邮件系统.
- 定义PCI遵从性的范围. 无论卡数据走到哪里,PCI DSS都是这片土地的规则. 但反过来也是正确的:PCI不关心不接触卡数据的系统. 一旦你跟踪了数据, 您可以确定哪些系统受DSS规则约束,哪些系统不需要担心, 至少在合规方面是这样. 这些信息可以指导你的行动计划,帮助你节省时间和金钱.
- 确定您的范围和需求之间的差距. 一旦你确切地知道你的系统的哪一部分是受PCI DSS, 你可以把规则和现实进行比较. 在准备评估中, 这通常意味着一系列的面试, 检查, 以及流程演练, 验证所有必要的规则都已到位.
当金沙乐娱app下载在金沙乐娱app下载进行准备评估时, 金沙乐娱app下载看到了一些常见的陷阱,金沙乐娱app下载会小心解决. 例如, PCI要求企业每季度进行内部漏洞评估——这意味着扫描缺失的补丁, 默认密码, 以及其他容易被小偷或恶意软件利用的漏洞.
当您发现一个弱点时,您需要检查并纠正标记为高风险的结果. 然后应该运行另一个扫描,显示问题已得到解决. 通常情况下,商家运行扫描,但不读取它. 或者即使他们读了,他们也没有解决问题. 或者,即使他们解决了问题,他们也不会再次运行扫描,也不会记录成功.
对于每个PCI规则(或“控件”),都必须有符合要求的文档. 这是一个容易被忽视的常见规则. 所以金沙乐娱app下载和商家坐下来,看看他们过去的扫描,以及他们的文档. 然后金沙乐娱app下载和他们一起完成自我评估问卷,确定每个问题的真实答案. 这有助于他们准确而自信地回答“是”的每个控制.
金沙乐娱app下载信息安全审查遵从性工作可以测试以确保遵从性,并可以帮助您的团队制定行动计划以纠正遵从性. 如果您有任何问题,请与金沙乐娱app下载联系.
PCI法规遵从性审计:简化法规遵从性报告
作为合格的证券评估员, 金沙乐娱app下载已经确定了几个步骤,使PCI合规性审计尽可能顺利地为商家运行.
成功的PCI合规性审计的3个步骤
- 确定一个协作QSA. 为了使这个过程尽可能高效,它需要是一个协作的过程. 尝试识别并与一个对您的业务环境有深刻理解的QSA合作. QSA还应该能够清楚地解释其实地工作协议.
- 把文件整理好. 合规性报告需要为每个控件编写文档—这实际上增加了相当多的文档. 希望你的QSA能给你足够的时间来收集文件. 六个星期是一个合适的准备时间.
- 提前谈. QSA应该在关键人员到现场前几周安排与他们的面试, 因此,他们可以在收集所需数据时了解您的员工的时间. 定期沟通是基础, 所以当QSA识别出不合规的地方时, 你可以尽快解决这个问题. 只要在QSA撰写报告之前解决了问题, 你应该因为遵守规定而得到赞扬. 确保您有一个关键的内部联系人定期管理潜在的问题,并处理来自QSA的工件或文档的请求. 你 不 最需要的合作伙伴是一个QSA,他飞出去一个评估员,在现场呆一个星期, 之前和之后都没跟你说过话. 确保你能找到一个能在整个过程中教育你的伙伴, 帮助增强你的安全感和信心.
渗透测试和PCI合规要求
适用于所有PCI DSS的组织, 这意味着每年的合规性演示和定期的安全测试——有时自我管理,有时由第三方组织在PCI合规性审计中进行. 其中一个重要的测试被称为“渗透测试”,它提供了一些关于PCI DSS如何以及为什么工作的有用见解.
什么是渗透测试?
在一个层面上, 这和其他网络攻击一样, 但这种“攻击”是由你自己或第三方安全合作伙伴进行的,目的是暴露潜在的漏洞. 毫无疑问:这是一个全面的尝试,试图闯入你的系统,并试图获得信用卡数据. 在最有效的时候, 渗透测试将模拟从恶意软件到人为黑客的各种攻击, 详细说明你的系统防御系统是否有效.
PCI要求每年进行其中一项检查. 它不需要由第三方来完成, 但是大多数组织发现他们想要使用合作伙伴. 该合作伙伴可以提供客观的观点,而不会因对系统的先验知识而产生偏见, 他们还可以在最常见的攻击技术方面提供专业知识, 这样他们就可以像坏人一样进行同样的活动, 让你从最相关的角度了解你的易感性. 他们不会对您的特定网络环境(包括其特定的优势和劣势)有广泛的了解,因此他们可以带来真正的入侵者的观点.
一个真正的闯入者的视角是必不可少的. 渗透测试不仅仅是对你的系统进行测试, 但它也带着它出去驾驶,并确保它能够经受住道路的严峻考验——包括真正的入侵者和真正的恶意软件的险恶弯道. 在过去, 一些自己动手模式的企业在网上下载了粗略和不可靠的“渗透测试工具”来满足这种PCI DSS要求.
金沙乐娱app下载信息安全审查遵从性工作可以测试以确保遵从性,并可以帮助您的团队制定行动计划以纠正遵从性.
网络安全意识播客:PCI Pen测试
在本集Bill Dean和斯图尔特 异常兴奋的讨论PCI合规性渗透测试. 了解渗透测试和漏洞评估之间的区别, 以及满足PCI合规性要求所需的内容.
维护PCI遵从性的工具
支付和信息安全术语
如果您不理解术语,就很难填写自我评估或与合格的安全评估员(QSA)沟通. PCI安全委员会创建了一个 简单易懂的解释 用于支付安全的技术术语. 对于那些有责任完成自我评估或与QSA沟通的人来说,PCI DSS要求和术语不再听起来像外语. 该资源是免费的,可以在PCI安全委员会的网站上下载,也可以点击下载 在这里.
通用付款系统
另一个对小商人来说很好的资源, 第一次的商人, 或商家试图成熟他们的PCI DSS理解 公共支付系统资源 在PCI安全委员会的网站上. 此资源是一组现实生活中的视觉效果,以帮助确定小型企业使用哪种类型的支付系统, 与他们的系统相关的各种风险, 以及他们可以采取的保护措施. 其中包括在各种行业中常见的各种信用卡支付实现. 在这个工具集中,最重要的是理解PCI环境和商业实现不是“一刀切”的.“这个优秀的资源不仅涵盖了15种常见类型的支付卡实现,还包括它们的风险, 威胁, 和保护. 每个系统的风险概况也有一个易于理解的图形表示. 这个有价值的工具也是免费点击 在这里 或者访问PCI安全委员会的网站.
安全付款指引
的 安全付款指引 不仅能很好地解释核心概念, 风险, 术语, 以及保护策略, 它也是其他有用的PCI文档和工具的宝贵资源. 你猜怎么着? 它也是免费的,从PCI安全委员会,可以通过点击访问 在这里.
向供应商提出的问题
协助阁下与服务提供者及供应商接洽及管理, PCI安全委员会创建了另一个(你猜到了)免费资源. 向供应商提出的问题 提供一组特定问题,以询问供应商,以确保他们正在保护客户的信用卡数据. 您应该只与理解并接受PCI DSS中所描述的保护持卡人数据责任的供应商和服务提供商合作.
网络安全意识播客:PCI合规的新工具
在本播客中, 金沙乐娱app下载信息安全的Bill Dean和John Dorling讨论了一些可用的工具,以帮助试图实现PCI合规性的商家.
