长期PCI数据安全标准支持

在本期播客中, LBMC的Bill Dean和John Dorling讨论了一些可用的工具来帮助那些试图实现PCI合规性的商家.

作为PCI认证合格安全评估员(QSA), LBMC提供专家指导，帮助客户浏览PCI法规并保持遵从性. 我们提供切实可行的解决方案，并强调长期合作关系. 明升体育app下载低流动率确保您每年与相同的QSA合作.

PCI审计与符合性报告(ROC)

• 概述: 只有一级商家和服务提供商被要求提交由qsa领导的ROC, 尽管无论公司规模大小，收购者都可能要求这样做.
• 过程: 明升体育app下载团队将指导您从审核过程的范围和细分，到发布最终的ROC和合规证明(AOC)。. 我们还为多个框架提供了“一次审计，多次报告”的方法.

PCI差距分析

• 目的: 评估当前PCI合规工作并确定需要改进的领域.
• 过程: 我们为缩小范围提供指导, 采访关键员工, 执行测试程序, 并提供一份可操作的补救步骤清单，为PCI审计或自我评估问卷做准备.

ASV季度扫描

• 要求: PCI要求11.2.1要求由认可扫描供应商(ASV)进行季度漏洞扫描.
• 服务: 明升体育app下载ASV服务包括使用行业领先的扫描引擎进行一年的无限制扫描, 用于自我评估问卷的安全门户, 扫描调度和管理, 向收购银行提交电子文件.

自我评估问卷D版(SAQ-D)完成

• 支持: 我们进行访谈和演练，以协助PCI DSS SAQ-D.
• 结果: 确保正确识别持卡人的数据环境，并填写SAQ-D表格.

PCI Flash评估

• 摘要目的: 提供快速评估以指导您的PCI遵从性策略.
• 专注: 确定PCI范围和分段.

PCI咨询(虚拟QSA)

• 服务: 通过高级PCI QSA的教育，接受PCI合规方面的专家建议.
• 好处: 及时获得影响PCI合规性的当前项目的答案和解决方案, 只支付你需要的时间.

渗透测试

• 摘要目的: 确保符合PCI DSS要求11.3.
• 方法: 明升体育app下载测试流程符合PCI DSS要求，包括CDE边界验证. 这有助于评估您对安全攻击的易感性.

Web应用程序安全评估

• 摘要目的: 评估web应用程序的安全性，确保符合PCI DSS要求.6.
• 方法: 我们进行“灰盒”评估(无法访问源代码)，以识别可能被攻击者利用的漏洞.

卡片数据发现

• 摘要目的: 识别所有存储的卡数据以满足PCI要求.
• 方法: 我们扫描文件和数据存储，并选择将发现扩展到PII和ePHI.

PCI培训与教育

• 摘要目的: 改善组织的安全状况，降低持卡人数据的风险.
• 方法: 我们提供教育和培训，以提高员工对PCI安全和一般安全实践的认识, 减少对以人为本的攻击的易感性.

在这一集中，Bill Dean和斯图尔特 异常兴奋的讨论了PCI遵从性的渗透测试. 了解渗透测试和漏洞评估之间的区别, 以及满足PCI合规性要求所需的内容.

采用PCI DSS的组织必须证明其年度合规性并进行定期安全测试, 包括渗透测试. 这些测试可以自行管理，也可以在PCI合规性审核期间由第三方执行. 渗透测试模拟网络攻击以暴露漏洞, 提供PCI DSS有效性的见解.

什么是渗透测试?

渗透测试是由您的组织或第三方安全合作伙伴执行的故意网络攻击，以识别潜在的漏洞. 此测试模拟各种攻击, 从恶意软件到人为黑客, 来评估你的系统防御. PCI要求每年进行渗透测试, 哪些可以在内部完成, 但许多组织更喜欢使用第三方合作伙伴来进行公正的评估, 专家的观点.

第三方测试的好处

第三方测试人员提供了客观的观点，并带来了常见攻击技术的专业知识, 提供系统易感性的现实视角. 他们缺乏对您的网络的广泛了解，确保了一个真正的入侵者的观点. 这种方法避免了不可靠的DIY工具的陷阱，并确保了彻底的测试.

LBMC网络安全可以审查合规工作, 进行渗透测试以确保合规性, 并帮助制定补救行动计划.

准备评估的重要性

即使你已经完成了一份自我评估问卷，并相信自己是合规的, 让安全专家执行准备情况评估是明智的. 这验证了您已经正确地解释了PCI DSS规则，并且您的假设是有充分根据的. 商家经常误解PCI遵从性指南并错误地表示遵从性.

什么是战备评估?

准备情况评估可以帮助您在将来更自信地进行自我评估，并了解您的安全措施如何工作以及为什么工作. 它揭示了更稳健、更经济地管理安全性的机会.

战备评估的三个步骤

1. 识别持卡人数据位置

• 确定持卡人数据在您的环境中存储、处理或传输的位置.
• 评估员将通过您的网络跟踪卡片数据流, 包括意想不到的地方，比如电子表格或电子邮件系统.

2. 定义PCI合规性范围

• 通过跟踪卡数据的去向，确定哪些系统受PCI DSS规则的约束.
• 不接触卡数据的系统不在范围内, 通过专注于相关系统，帮助您节省时间和金钱.

3. 识别和解决差距

• 通过访谈、检查和流程演练将范围与PCI DSS需求进行比较.
• 常见的缺陷包括季度内部脆弱性评估, 缺失的补丁, 默认密码, 文件不充分.

常见的陷阱和解决方案

季度内部脆弱性评估:

• 定期扫描缺失的补丁和其他漏洞.
• 检查并修复高风险结果，然后运行另一次扫描以确认问题已解决.

文档:

• 确保每个PCI规则(或“控制”)的文档被认为是兼容的.
• 回顾过去的扫描和文件，以准确地完成自我评估问卷.

LBMC网络安全可以审查您的合规工作, 确保遵从性, 并帮助您的团队制定补救措施的行动计划. 如需更多信息或帮助，请与我们联系.

作为一名合格的保安评估员, 我们已经确定了一些步骤，使PCI合规性审计尽可能顺利地为商家运行.

成功的PCI合规性审计的3个步骤

1. 确定协作性QSA.

• 为了使这个过程尽可能高效，它需要是一个协作的过程. 尝试识别并与一个对你的商业环境有深刻理解的QSA合作. QSA还应该能够清楚地解释其现场工作协议.

2. 整理文档.

• 合规性报告要求为每个控制提供文档——这实际上增加了相当多的文档. 寻找你的QSA，给你足够的时间来整理文件. 六周的交货时间是合适的.

3. 提前谈话.

• QSA应在现场访问前几周安排与关键人员的面谈，以尊重他们的时间并收集必要的数据. 定期沟通对于在QSA报告之前快速解决不合规问题至关重要. 确保关键的内部联系人管理潜在问题并处理文档请求.

Avoid QSAs who don’t communicate before or after the assessment; find a partner who educates you throughout the process, 增强你的安全感和自信心.

付款和担保术语表

理解术语对于填写自我评估或与QSA沟通至关重要. PCI安全委员会提供了一个 词汇表与易于理解的解释 支付安全中使用的技术术语. 此资源是免费的 在PCI安全委员会的网站上.

常用支付系统

对于小商家或初次商家来说 通用支付系统资源 PCI安全委员会网站上的信息是无价的. 它提供了真实的视觉效果来帮助识别支付系统, 相关的风险, 以及保护措施. 该工具涵盖了15种常见类型的支付卡实现及其风险概况. 这 有价值的工具 可以在PCI安全委员会的网站上找到.

安全付款指引

的 安全付款指引  解释核心概念、风险、术语和保护策略. 它还可以作为其他有用的PCI文档和工具的中心. 该指南在PCI安全委员会的网站上是免费的.

向供应商提出的问题

为了有效地管理服务提供商和供应商，PCI安全委员会提供 向供应商提出的问题 . 此资源包括确保供应商保护客户信用卡数据的特定问题. 它是免费的，可以在PCI安全委员会的网站上获得.

当我们处理您的PCI合规性时，专注于重要的事情. 今天明升体育app下载报价或讨论您的需求. 请致电(844)526 -2732或填写以下表格.