PCI-DSS合规评估服务

商品介绍

PCI DSS支付卡产业数据安全标准是全球范围唯一、权威且被产业高度认可的数据安全最佳实践。

近年来，信用卡用卡安全问题备受关注。诸多信用卡收单机构和发卡机构、商户，以及支付服务提供商已经实现了支付卡产业数据安全标准（PCI DSS：Payment Card Industry Data Security Standard）合规评估，或者正在致力于合规建设。而在我国国内，服务提供商的PCI DSS合规评估工作已经比较广泛的被接受和认可；国内银行的信用卡收单机构和发卡机构的PCI DSS合规建设也在近两年得到了越来越多的关注，VISA、万事达、银联等作为卡组织，其风险管理的要求中对于收单和发卡机构的PCI DSS合规建设也是重中之重。多年以来，VISA组织在全球范围推行基于PCI相关要求的风险管理体系，比如亚太地区的帐户信息安全（AIS：Account Information Security）；万事达卡则在全球推进站点数据保护（SDP：Site Data Protection）安全体系。

atsec作为PCI安全标准委员会授权的认可扫描机构（ASV：Approved Scanning Vendors）和合格安全性评估机构（QSA：Qualified Security Assessors），面向收单银行、商户、服务提供商等支付产业相关机构提供安全扫描和评估服务，并出具符合性报告和证明。其结果得到国际支付品牌和监管机构，以及整个支付产业各个角色的高度认可。

PCI DSS标准包括如下6大类12个要求，以及几百项子要求，概况信息如下：

- 建立和维护安全的网络 Build and Maintain a Secure Network and Systems

1. 安装并维护防火墙配置以保护持卡人数据
Install and maintain a firewall configuration to protect cardholder data

2. 系统口令和其它安全参数不使用厂商默认设置
Do not use vendor-supplied defaults for system passwords and other security parameters

- 保护持卡人数据 Protect Cardholder Data

3. 保护存储的持卡人数据
Protect stored cardholder data

4. 对公共开放网络上传输的持卡人数据加密
Encrypt transmission of cardholder data across open, public networks

- 维护漏洞管理程序 Maintain a Vulnerability Management Program

5. 使用并定期更新防病毒软件
Protect all systems against malware and regularly update anti-virus software or programs

6. 开发和维护安全的系统和应用
Develop and maintain secure systems and applications

- 实施访问控制措施 Implement Strong Access Control Measures

7. 限制对持卡人数据的访问到必需的业务访问
Restrict access to cardholder data by business need to know

8. 对计算机访问用户分配唯一的帐号
Identify and authenticate access to system components

9. 限制对持卡人数据的物理访问
Restrict physical access to cardholder data

- 定期监控和测试网络 Regularly Monitor and Test Networks

10. 跟踪并监控对网络资源和持卡人数据的所有访问
Track and monitor all access to network resources and cardholder data

11. 定期测试安全系统和流程
Regularly test security systems and processes

- 维护信息安全策略 Maintain an Information Security Policy

12. 维护信息安全策略，以解决内外部的安全问题
Maintain a policy that addresses information security for all personnel

PCI DSS QSA合规评估流程

PCI DSS整体项目大体可以分为三个阶段：

第一个阶段是准备评估阶段，可以协助机构确认持卡人数据环境范围，并进行差距分析，提出详细的整改建议和解决方案。

第二个阶段是基于识别差距的实施整改阶段，这个阶段的周期通常根据机构现状差距和整改的工作量等因素有所不同。

第三个阶段是正式评估阶段，具有资质的评估人员QSA将开展全面的合规评估，之后出具合规报告和合规证明。