一种总线标准服务
PCI审计和合规性报告
而只有1级商家和服务提供商(例如.g., 大牌连锁商家)必须提交一份由QSA主导的合规报告, 无论你的公司规模大小,收购方都可以要求你提供一份合规报告. 我们将引导您完成整个流程, 从范围和分割, 通过审计过程, 向相关方出具完整的最终合规报告(ROC)和合规证明(AOC). 如果应用不同的框架,我们还可以提供“一次审计,多次报告”的方法.
PCI差距分析
我们回顾了迄今为止执行的PCI合规工作, 对缩小范围提供清晰和有见地的指导, 采访关键员工, 执行测试程序, 并为您提供一份可操作的补救步骤列表,为您准备PCI审计或自我评估问卷
ASV季度扫描
PCI要求11.2.1要求由认可扫描供应商(ASV)进行季度漏洞扫描. LBMC网络安全公司的ASV服务包括使用行业领先的扫描引擎进行一年的无限制扫描, 完成相关自我评估问卷的安全门户, 调度和管理您的扫描, 如果需要,还可以向收购银行提交电子文件. 客户可以随时按需使用ASV系统.
SAQ-D完成
LBMC网络安全可以进行访谈和演练,以协助完成PCI DSS自我评估问卷版本D (SAQ-D)。. 之后, 我们将与客户合作,确保正确识别持卡人的数据环境,并填写适当的SAQ-D表格.
PCI Flash评估
明升体育app下载PCI专家团队执行快速评估,为您提供路线图,该路线图将指导您完成个性化的PCI合规策略,重点是帮助您确定PCI范围和细分.
PCI咨询(虚拟QSA)
通过高级PCI合格安全评估员的教育, 您将收到关于PCI合规性所需的专家建议. 通过明升体育app下载PCI咨询服务, 您将及时听到可能影响PCI合规性的当前项目的答案和解决方案, 而只支付你需要的时间.
PCI和Web应用程序安全渗透测试
渗透测试确保您符合PCI DSS需求11.3. 的方法, 范围, 报告流程与渗透测试的PCI DSS要求保持一致, 包括CDE边界验证要求. 通过这个测试,明升体育app下载团队评估您对安全攻击的易感性.
我们还会对您的web应用程序进行“灰盒”(即无法访问源代码)web应用程序安全评估,以确定是否有人可能会危及应用程序本身或其中数据的安全性. 这通过搜索可能被攻击者利用的漏洞来评估应用程序的安全性. 此测试确保符合PCI DSS要求6.6.
卡片数据发现
具有扫描文件和数据存储的能力, 明升体育app下载团队可以帮助您满足PCI要求,以识别所有存储的卡数据, 并可选择将数据发现扩展到PII和/或ePHI.
PCI培训与教育
培训员工了解PCI安全性(以及一般的安全意识)对于帮助您的组织改善安全状况和降低持卡人数据的风险至关重要. 明升体育app下载团队可以通过教育和培训帮助您的员工获得成功, 减少对基于人的攻击的易感性.
准备评估:PCI合规性要求
即使你已经完成了一份自我评估问卷, 即使你发自内心地相信你是顺从的, 让安全专家至少执行一次准备情况评估是明智的. 这个过程将帮助您验证您已经正确地解释了PCI DSS规则,并且您的假设是有充分根据的. 经常, 商家在不知情和无意中误解了PCI遵从性指南,并错误地表示遵从性.
什么是准备评估?
准备情况评估可以帮助您在将来更自信地进行自我评估,并帮助您更多地了解安全措施的工作方式和原因. 经常, 准备情况评估揭示了在将来更可靠、更经济地管理安全性的机会.
战备评估的三个步骤
- 弄清楚持卡人数据在您的环境中存储、处理或传输的位置. 在业务流程的哪个位置捕获数据,如何处理数据? 评估员将通过您的网络跟踪卡片数据流, 无论是传输到数据库还是第三方站点. 他们还会在意想不到的地方彻底搜索卡片数据:存储在文件共享系统的电子表格中, 或者在你的电子邮件系统上闲逛.
- 定义PCI遵从性的范围. 无论卡片数据走到哪里,PCI DSS都是这片土地的规则. 但反过来也是正确的:PCI不关心不接触卡数据的系统. 一旦你了解了这些数据, 您可以确定哪些系统受DSS规则的约束,哪些系统不需要担心, 至少就遵从性而言. 这些信息可以指导你的行动计划,帮助你节省时间和金钱.
- 确定你的范围和需求之间的差距. 一旦您确切地知道系统的哪个部分受到PCI DSS的约束, 你可以将规则与现实进行比较. 在准备评估中, 这通常意味着一系列的面试, 检查, 以及流程演练, 验证所有必要的规则是否到位.
当我们在LBMC进行准备评估时, 我们看到了一些常见的陷阱,并小心地加以解决. 例如, PCI要求企业进行季度内部漏洞评估——这意味着扫描缺失的补丁, 默认密码, 以及其他容易被窃贼或恶意软件利用的漏洞.
当你发现一个弱点时,你需要审查和纠正标记为高风险的结果. 然后,您应该运行另一个扫描,以显示问题已被解决. 通常情况下,商家运行扫描,但不阅读它. 或者即使他们读了,他们也不会解决问题. 或者,如果他们解决了问题,他们不会再次运行扫描,也不会记录成功.
对于每个PCI规则(或“控制”),您必须有文档来考虑是否符合要求. 这是一个简单而普遍的规则. 所以我们与商家坐下来,看看他们过去的扫描,以及他们的文件. 然后我们和他们一起完成自我评估问卷,找出每个问题的真实答案. 这有助于他们准确而自信地回答“是”.
LBMC网络安全审查合规性工作,可以测试以确保合规性,并可以帮助您的团队制定行动计划来纠正合规性. 如果您有任何疑问,请与我们联系.
客户证明
PCI合规性审计:简化合规性报告
作为一名合格的保安评估员, 我们已经确定了一些步骤,使PCI合规性审计尽可能顺利地为商家运行.
成功的PCI合规性审计的3个步骤
- 确定协作性QSA. 为了使这个过程尽可能高效,它需要是一个协作的过程. 尝试识别并与一个对你的商业环境有深刻理解的QSA合作. QSA还应该能够清楚地解释其现场工作协议.
- 把文件整理好. 合规性报告要求为每个控制提供文档——这实际上增加了相当多的文档. 寻找你的QSA,给你足够的时间来整理文件. 六周的交货时间是合适的.
- 提前谈话. QSA应该在你的关键人员来现场前几周安排面试, 这样他们就能意识到你的员工在收集他们需要的数据时所花费的时间. 定期沟通是至关重要的, 所以当QSA发现不合规的地方, 你可以尽快解决这个问题. 只要一个问题在QSA写报告之前得到解决, 你应该因为遵守规定而得到表扬. 确保您有一个关键的内部联系人定期管理潜在的问题,并处理来自您的QSA的工件或文档请求. 你 不 想要的合作伙伴是一个QSA,他会飞出去一个评估员,在现场呆上一周, 之前和之后都没跟你说过话. 确保你找到一个能在整个过程中指导你的伙伴, 有助于增强你的安全感和信心.
渗透测试和PCI合规性要求
对于每个受PCI DSS约束的组织, 这意味着每年进行合规性演示和定期进行安全测试——有时是自我管理的,有时是由第三方组织在PCI合规性审计中进行的. 其中一项重要的测试被称为“渗透测试”,它为PCI DSS如何以及为什么起作用提供了一些有用的见解.
什么是渗透测试?
在某种程度上, 这和其他网络攻击一样, 但是这种“攻击”是由您自己或第三方安全合作伙伴进行的,目的是暴露潜在的漏洞. 毫无疑问:这是一次全面的尝试,试图闯入您的系统并试图获取信用卡数据. 在它最有效的时候, 渗透测试将模拟从恶意软件到人为黑客的各种攻击, 详细说明你的系统防御是否站得住脚.
PCI要求每年进行一次这些测试. 它不需要由第三方来完成, 但大多数组织发现他们希望使用合作伙伴. 该合作伙伴可以提供客观的观点,而不会因对系统的先验知识而产生偏见, 他们还可以带来最常见的攻击技术方面的专业知识, 这样他们就能像坏人一样进行同样的活动, 让你从最相关的角度了解你的易感性. 他们不会对您的特定网络环境(包括其特定的优势和劣势)有广泛的了解,因此他们可以带来真正的入侵者的视角.
一个真正的入侵者的视角是必不可少的. 渗透测试不仅仅是测试你的系统, 但它也带着它出去兜风,并确保它能经受住道路的严峻考验——包括真正的入侵者和真正的恶意软件的危险弯道. 在过去, 一些“自己动手”模式的企业在网上下载了粗略且不可靠的“渗透测试工具”来满足这种PCI DSS要求.
LBMC网络安全审查合规性工作,可以测试以确保合规性,并可以帮助您的团队制定行动计划来纠正合规性.
网络安全意识播客:PCI渗透测试
在这一集中,Bill Dean和斯图尔特 异常兴奋的讨论了PCI遵从性的渗透测试. 了解渗透测试和漏洞评估之间的区别, 以及满足PCI合规性要求所需的内容.
维护PCI合规性的工具
付款和担保术语表
如果不理解术语,可能很难填写自我评估或与合格的安全评估员(QSA)沟通. PCI安全委员会创建了一个 易于理解的解释词汇表 支付安全中使用的技术术语. 对于那些有责任完成自我评估或与QSA沟通的人来说,PCI DSS要求和术语听起来不再像外语. 此资源免费来自PCI安全委员会的网站.
常用支付系统
另一个伟大的资源,为小商家, 第一次的商人, 或商家试图成熟他们的PCI DSS的理解是 通用支付系统资源 在PCI安全委员会的网站上. 这个资源是一组真实的视觉效果,可以帮助识别小企业使用的支付系统类型, 与他们的系统相关的风险种类, 以及他们可以采取的保护措施. 其中包括在各种行业中常见的各种信用卡支付实现. 在这个工具集中,最重要的是要理解PCI环境和商业实现不是“一刀切”的.“这个优秀的资源不仅涵盖了15种常见的支付卡实现类型,而且还涵盖了它们的风险, 威胁, 和保护. 每个系统的风险概况也有一个易于理解的图形表示. 这 有价值的工具 也可以在PCI安全委员会的网站上免费下载.
安全付款指引
的 安全付款指引 他不仅很好地解释了核心概念, 风险, 术语, 以及保护策略, 它还可以作为其他有用的PCI文档和工具的宝贵资源. 你猜怎么着? 它也是免费的PCI安全委员会.
向供应商提出的问题
适当地协助您与服务提供者和供应商接洽和管理, PCI安全委员会创建了另一个(你猜对了)免费资源. 向供应商提出的问题 提供了一组特定的问题来询问供应商,以确保他们正在保护客户的信用卡数据. 您只应与理解并接受其责任的供应商和服务提供商合作,以保护PCI DSS中所述的持卡人数据.
网络安全意识播客:PCI合规的新工具
在本期播客中, LBMC的Bill Dean和John Dorling讨论了一些可用的工具来帮助那些试图实现PCI合规性的商家.