PCI. DSS |支付卡行业数据安全标准

PCI. DSS信息

支付卡行业数据安全标准(PCI DSS)是处理主要借记卡和信用卡持卡人信息的组织的信息安全标准。它旨在增加持卡人数据的控制,以减少信用卡欺诈。遵守合规性的验证是每年完成的,由外部合格的安全评估员(QSA)用于处理大量交易的组织,或通过自我评估问卷(SAQ),用于处理较小的卷的公司。

PCI. SAQ服务

支付卡行业数据安全标准自我评估问卷(PCI DSS SAQ)是商家和服务提供商自我评估其遵守PCI DSS要求的工具。收购者或支付品牌需要PCI SAQ,以便不需要进行现场数据安全评估。 SAQ有多个版本适合不同的业务类别。 SAQ通常远远超过一个简单的“调查问卷”,因为许多组织需要加入必要的政策,标准和程序,以便在执行调查问卷前提前满足要求。 PPS为SAQ客户提供支持:

  • 验证当前的PCI数据架构以最小化SAQ负担的方式进行优化
  • 确保选择最佳SAQ
  • 与您的团队合作协作,以确保必要的控制已正确记录
  • 确认您的控件通过进行间隙/合规性评估(具有适当的抽样)按预期运行
  • 确保您的执行官理解认证职责

PCI. 范围评估

PCI. 标准将根据环境的组件“存储,处理或转运”卡持有者数据的组件来区分P​​CI环境的范围。在我们的参与的大量比例中,我们发现PCI DSS范围基于当前架构不必要地大。更简单的变化,如改变Web表单帖子到或者桌面交易信用卡交易的地方,可以大大减少组织的PCI DSS义务。我们的PCI范围评估:

  • 利用PPS的安全数据流程图实践,以追踪整个生命周期的PCI相关数据的流量(包括第三方入口/出口)
  • 利用我们的凭证漏洞评估实践来验证范围内系统配置为PCI标准
  • 利用内容扫描来确定PAN的(持卡人数据)是否驻留在意外的地方(例如,在会计中的电子表格)中
  • 可能导致重新构建和/或以消除或减少PCI负担的方式进行基础架构

PCI. 差距评估,差距修复,& QSA Audit

PCI. 需要第1层商家有一个批准的评估员(QSA)执行年度评估,以使用PCI安全审计程序文件验证合规性。在许多这些情况下,组织使用QSA,QSA将进行正式的QSA审计,以进行PCI-DSS差距评估。在第一次腮红 - 听起来像客户的角度一样好像是一个好主意 - 尽管它违反了供应商的角度的基本原则。在实践中,这可能是灾难性的,因为组织可能通过审计 - 但仍然有可能导致一个值得注意的妥协(请参阅Heartland Payments Systems)。

PPS与众不同亮丽谁认识到在其PCI实践中分离咨询和遵守审计的重要性。以这种方式,PPS / BrightLine可以提供综合服务 - 同时仍保持适当的独立和客观性。

 

第1阶段:PCI DSS GAP评估(PPS)包括:

  • 审查PCI相关政策,标准,& procedures
  • 支付交易环境分析
  • 了解PCI相关的第三方使用(例如外汇人员,管理服务提供商,托管提供商)
  • 对PCI-DSS标准的差距评估

阶段2:PCI DSS间隙修复(PPS)包括:

  • 优先差距修复计划的发展
  • PCI. -DSS不合格的协作修复

第3阶段:PCI DSS评估和报告(BrightLine)包括:

  • PCI. DSS合规审计
  • 签发关于遵守相关卡品牌/收购者的正式报告
  • 发布PCI DSS合规证书