本文讲的是PCI验证:使用PCI DSS需满足什么要求,受支付卡行业数据安全标准(PCI DSS)支配的企业必须满足PCI验证请求,验证其条款是否与银行的相符。这些需求包括对服从性的周期性报告(ROC),漏洞扫描,渗透测试和Web应用测试。在这一点上,我们检查了这些需求,列出了保持PCI DSS服从性的详细提纲。
或许最重要的PCI请求就是最小的商家必须向自己的银行提交年度服从性验证报告。这些报告的范围以及个人执行评估资格都依据企业所达到的PCI DSS商家级别而定。
最大的商家属于一级商家,他们必须每年出具独立的审计结果。这一审计结果可以是有资质的安全评估员(QSA)或是该公司内部管理人员指定的审计团队。在其他情况下,QSA或内部审计员都会完成一个ROC然后提交给公司所使用的商业银行。二级和三级商家或许会通过自己的IT部门和企业员工完成评估报告,然后把结果记录到自评问卷中(SAQ)。
审计的范围依据商家持卡人数据环境的特征而定——本质上,越复杂的环境,审计的范围就越广。可能性如下:
• SAQ A是最简单的形式,供那些外包了所有卡片处理职责的商家使用
• SAQ B则要求印记唯一或独立拨号且不能用电子方式保存任何持卡人数据的终端用户
• SAQ C可用于具备联网支付系统但不能保存持卡人数据的商家。还有供使用虚拟终端的商家使用的单独SQA C版本。
• SAQ D是最复杂的形式,所有无法满足最短SAQ的商家都需要使用SAQ D。包括哪些可以使用可保存持卡人信息的系统的商家。
当然,尽可能深入SAQ链符合是每个商家利益的行为。如果你的企业还不具备满足SAQ A的资质就不要妄想SAQ D。
漏洞扫描
所有使用对外IP地址的商家都必须按季度执行网络漏洞扫描,并将结果提交给自己的商业银行。PCI DSS标准要求企业通过他们授权的扫描供应商(ASV)执行扫描,但是企业所使用的银行可能需要使用某个特定的扫描服务供应商。许多商业银行要求使用单独的ASV合作伙伴,因为这些ASV可以让银行直接访问加固的报告,减轻了银行的管理负担。
当然,简单执行扫描还不够——必须通过扫描才能确定其对PCI DSS的服从性。基于这一原因,在运行正式扫描前,公司可以先运行常规服从性扫描。
安全测试
如果公司的基础设施需要处理持卡人数据,可使用另外两种要求:渗透测试和Web应用评估。企业必须每年对持卡人数据环境执行内部和外部的渗透测试,包括网络和应用层测试。同样,使用Web应用的企业必须每年执行常规Web 应用评估,在重大改变后也要执行Web应用评估。所有的测试都必须通过有资质的安全顾问或是员工执行,执行测试的员工不应该是执行系统维护的人。
随着公司创建PCI DSS服从项目的发展,越来越有必要记住这些要求。可以规划一个为期一年的评估和测试,这样公司就不会在年末的时候错过截止期限或是急急忙忙赶着满足PCI验证要求。最后,请确保你保留了公司评估的所有文件,这样就可以将服从性的评估情况向审计员解释。
作者:vivian/译
来源:it168网站
原文标题:PCI验证:使用PCI DSS需满足什么要求?