欢迎来到天天文库
浏览记录
ID:52951875
大小:196.14 KB
页数:13页
时间:2020-04-03
《PCI验证使用PCI DSS需满足什么要求-.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、PCI验证:使用PCIDSS需满足什么要求?受支付卡行业数据安全标准支配的企业必须满足PCI验证请求,验证其条款是否与银行的相符。这些需求包括对服从性的周期性报告,漏洞扫描,渗透测试和Web应用测试。在这一点上,我们检查了这些需求,列出了保持PCIDSS服从性的详细提纲。或许最重要的PCI请求就是最小的商家必须向自己的DD丨WWW.CDAFJK.COM丨成都安防监控丨1银行提交年度服从性验证报告。这些报告的范围以及个人执行评估资格都依据企业所达到的PCIDSS商家级别而定。最大的商家属于一级商家,他们
2、必须每年出具独立的审计结果。这一审计结果可以是有资质的安全评估员或是该公司内部管理人员指定的审计团队。在其他情况下,QSA或内部审计员都会完成一个ROC然后提交给公司所使用的商业银行。二级和三级商家或许会通过自己的IT部门和企业员工完成评估报告,然后把结果记录到自评问卷中。DD丨WWW.CDAFJK.COM丨成都安防监控丨2审计的范围依据商家持卡人数据环境的特征而定——本质上,越复杂的环境,审计的范围就越广。可能性如下:SAQA是最简单的形式,供那些外包了所有卡片处理职责的商家使用SAQB则要求印记唯
3、一或独立拨号且不能用电子方式保存任何持卡人数据的终端用户SAQC可用于具备联网支付系统但不能保存持卡人数据的商家。还有供使用虚拟终端的商家使用的单独SQACDD丨WWW.CDAFJK.COM丨成都安防监控丨3版本。SAQD是最复杂的形式,所有无法满足最短SAQ的商家都需要使用SAQD。包括哪些可以使用可保存持卡人信息的系统的商家。当然,尽可能深入SAQ链符合是每个商家利益的行为。如果你的企业还不具备满足SAQA的资质就不要妄想SAQD。漏洞扫描所有使用对外IP地址的商家都必须按季度执行网络DD丨WWW
4、.CDAFJK.COM丨成都安防监控丨4漏洞扫描,并将结果提交给自己的商业银行。PCIDSS标准要求企业通过他们授权的扫描供应商执行扫描,但是企业所使用的银行可能需要使用某个特定的扫描服务供应商。许多商业银行要求使用单独的ASV合作伙伴,因为这些ASV可以让银行直接访问加固的报告,减轻了银行的管理负担。当然,简单执行扫描还不够——必须通过扫描才能确定其对PCIDSS的服从性。基于这一原因,在运行正式扫描前,公司可以先运行常规服从性扫描。DD丨WWW.CDAFJK.COM丨成都安防监控丨5安全测试如果公
5、司的基础设施需要处理持卡人数据,可使用另外两种要求:渗透测试和Web应用评估。企业必须每年对持卡人数据环境执行内部和外部的渗透测试,包括网络和应用层测试。同样,使用Web应用的企业必须每年执行常规Web应用评估,在重大改变后也要执行Web应用评估。所有的测试都必须通过有资质的安全顾问或是员工执行,执行测试的员工不应该是执行系统维护的人。DD丨WWW.CDAFJK.COM丨成都安防监控丨6随着公司创建PCIDSS服从项目的发展,越来越有必要记住这些要求。可以规划一个为期一年的评估和测试,这样公司就不会在
6、年末的时候错过截止期限或是急急忙忙赶着满足PCI验证要求。最后,请确保你保留了公司评估的所有文件,这样就可以将服从性的评估情况向审计员解释。受支付卡行業數據安全標準支配的企業必須滿足PCI驗證請求,驗證其條款是否與銀行的相符。這些需求包括對服從性的周期性報告,漏洞掃描,滲透測試和WebDD丨WWW.CDAFJK.COM丨成都安防监控丨7應用測試。在這一點上,我們檢查瞭這些需求,列出瞭保持PCIDSS服從性的詳細提綱。或許最重要的PCI請求就是最小的商傢必須向自己的銀行提交年度服從性驗證報告。這些報告的
7、范圍以及個人執行評估資格都依據企業所達到的PCIDSS商傢級別而定。最大的商傢屬於一級商傢,他們必須每年出具獨立的審計結果。這一審計結果可以是有資質的安全評估員或是該公司內部管理人員指定的審計團隊。在其他情況下,QSADD丨WWW.CDAFJK.COM丨成都安防监控丨8或內部審計員都會完成一個ROC然後提交給公司所使用的商業銀行。二級和三級商傢或許會通過自己的IT部門和企業員工完成評估報告,然後把結果記錄到自評問卷中。審計的范圍依據商傢持卡人數據環境的特征而定——本質上,越復雜的環境,審計的范圍就越廣
8、。可能性如下:SAQA是最簡單的形式,供那些外包瞭所有卡片處理職責的商傢使用SAQB則要求印記唯一或獨立撥號且不能用電子方式DD丨WWW.CDAFJK.COM丨成都安防监控丨9保存任何持卡人數據的終端用戶SAQC可用於具備聯網支付系統但不能保存持卡人數據的商傢。還有供使用虛擬終端的商傢使用的單獨SQAC版本。SAQD是最復雜的形式,所有無法滿足最短SAQ的商傢都需要使用SAQD。包括哪些可以使用可保存持卡人信息的系統的商傢。當然,盡可能深入SAQ鏈符合是
此文档下载收益归作者所有