长期PCI数据安全标准支持

在本期播客中, LBMC的Bill Dean和John Dorling讨论了一些可用的工具来帮助那些试图实现PCI合规性的商家.

As a certified PCI Qualified Security Assessor (QSA), LBMC提供专家指导，帮助客户浏览PCI法规并保持遵从性. We provide practical solutions and emphasize long-term partnerships. Our low turnover rate ensures you work with the same QSA each year.

PCI审计与符合性报告(ROC)

• 概述: Only Level 1 merchants and service providers are mandated to submit a QSA-led ROC, though acquirers may require it regardless of company size.
• 过程: 明升体育app下载团队将指导您从审核过程的范围和细分，到发布最终的ROC和合规证明(AOC)。. We also offer an “audit once, report many” approach for multiple frameworks.

PCI差距分析

• 目的: Evaluate current PCI compliance efforts and identify areas for improvement.
• 过程: 我们为缩小范围提供指导, 采访关键员工, 执行测试程序, 并提供一份可操作的补救步骤清单，为PCI审计或自我评估问卷做准备.

ASV季度扫描

• 要求: PCI要求11.2.1 mandates quarterly vulnerability scans by an Approved Scanning Vendor (ASV).
• 服务: 明升体育app下载ASV服务包括使用行业领先的扫描引擎进行一年的无限制扫描, a secure portal for the self-assessment questionnaire, 扫描调度和管理, 向收购银行提交电子文件.

Self-Assessment Questionnaire Version D (SAQ-D) Completion

• 支持: We conduct interviews and walkthroughs to assist with the PCI DSS SAQ-D.
• 结果: 确保正确识别持卡人的数据环境，并填写SAQ-D表格.

PCI Flash评估

• 摘要目的: Provide a quick assessment to guide your PCI compliance strategy.
• 专注: 确定PCI范围和分段.

PCI咨询(虚拟QSA)

• 服务: Receive expert advice on PCI compliance through education from a senior-level PCI QSA.
• 好处: Get timely answers and solutions to current projects impacting PCI compliance, 只支付你需要的时间.

渗透测试

• 摘要目的: Ensure compliance with PCI DSS Requirement 11.3.
• 方法: 明升体育app下载测试流程符合PCI DSS要求，包括CDE边界验证. 这 helps assess your susceptibility to security attacks.

Web应用程序安全评估

• 摘要目的: 评估web应用程序的安全性，确保符合PCI DSS要求.6.
• 方法: 我们进行“灰盒”评估(无法访问源代码)，以识别可能被攻击者利用的漏洞.

卡片数据发现

• 摘要目的: Identify all stored card data to meet PCI requirements.
• 方法: We scan files and data stores, with the option to expand discovery to PII and ePHI.

PCI培训与教育

• 摘要目的: Improve your organization’s security posture and reduce risk to cardholder data.
• 方法: 我们提供教育和培训，以提高员工对PCI安全和一般安全实践的认识, reducing susceptibility to people-based attacks.

在这一集中，Bill Dean和斯图尔特 异常兴奋的讨论了PCI遵从性的渗透测试. Learn about the differences between penetration testing and vulnerability assessments, and what is needed to meet requirements for PCI compliance.

采用PCI DSS的组织必须证明其年度合规性并进行定期安全测试, 包括渗透测试. 这些测试可以自行管理，也可以在PCI合规性审核期间由第三方执行. A penetration test simulates network attacks to expose vulnerabilities, 提供PCI DSS有效性的见解.

什么是渗透测试?

渗透测试是由您的组织或第三方安全合作伙伴执行的故意网络攻击，以识别潜在的漏洞. 此测试模拟各种攻击, 从恶意软件到人为黑客, 来评估你的系统防御. PCI要求每年进行渗透测试, 哪些可以在内部完成, but many organizations prefer using a third-party partner for an unbiased, 专家的观点.

第三方测试的好处

第三方测试人员提供了客观的观点，并带来了常见攻击技术的专业知识, offering a realistic perspective of your system’s susceptibility. 他们缺乏对您的网络的广泛了解，确保了一个真正的入侵者的观点. 这种方法避免了不可靠的DIY工具的陷阱，并确保了彻底的测试.

LBMC 网络安全 can review compliance efforts, conduct penetration tests to ensure compliance, and help develop an action plan for remediation.

准备评估的重要性

即使你已经完成了一份自我评估问卷，并相信自己是合规的, having security experts perform a readiness assessment is wise. 这验证了您已经正确地解释了PCI DSS规则，并且您的假设是有充分根据的. 商家经常误解PCI遵从性指南并错误地表示遵从性.

什么是战备评估?

准备情况评估可以帮助您在将来更自信地进行自我评估，并了解您的安全措施如何工作以及为什么工作. It reveals opportunities to manage your security more robustly and cost-effectively.

战备评估的三个步骤

1. 识别持卡人数据位置

• 确定持卡人数据在您的环境中存储、处理或传输的位置.
• An assessor will follow the flow of card data through your network, including unexpected places like spreadsheets or email systems.

2. 定义PCI合规性范围

• Identify which systems are subject to PCI DSS rules by tracking where card data goes.
• Systems not touching card data are outside the scope, helping you save time and money by focusing only on relevant systems.

3. 识别和解决差距

• 通过访谈、检查和流程演练将范围与PCI DSS需求进行比较.
• Common pitfalls include quarterly internal vulnerability assessments, 缺失的补丁, 默认密码, 文件不充分.

常见的陷阱和解决方案

Quarterly Internal Vulnerability Assessments:

• Regularly scan for 缺失的补丁 and other vulnerabilities.
• 检查并修复高风险结果，然后运行另一次扫描以确认问题已解决.

文档:

• Ensure documentation for every PCI rule (or “control”) to be considered compliant.
• 回顾过去的扫描和文件，以准确地完成自我评估问卷.

LBMC 网络安全 can review your compliance efforts, 确保遵从性, and help your team develop an action plan for remediation. For more information or assistance, please contact us.

作为一名合格的保安评估员, 我们已经确定了一些步骤，使PCI合规性审计尽可能顺利地为商家运行.

成功的PCI合规性审计的3个步骤

1. 确定协作性QSA.

• For the process to be as efficient as possible, it needs to be a collaborative process. 尝试识别并与一个对你的商业环境有深刻理解的QSA合作. 的 QSA should also be able to explain its fieldwork protocol clearly.

2. 整理文档.

• 合规性报告要求为每个控制提供文档——这实际上增加了相当多的文档. Look for your QSA to give you plenty of time to get the documents together. Six weeks is an appropriate amount of lead time.

3. 提前谈话.

• QSA应在现场访问前几周安排与关键人员的面谈，以尊重他们的时间并收集必要的数据. 定期沟通对于在QSA报告之前快速解决不合规问题至关重要. 确保关键的内部联系人管理潜在问题并处理文档请求.

Avoid QSAs who don’t communicate before or after the assessment; find a partner who educates you throughout the process, 增强你的安全感和自信心.

付款和担保术语表

理解术语对于填写自我评估或与QSA沟通至关重要. PCI安全委员会提供了一个 glossary with easy-to-understand explanations 支付安全中使用的技术术语. 此资源是免费的 在PCI安全委员会的网站上.

常用支付系统

对于小商家或初次商家来说 通用支付系统资源 在PCI安全委员会的网站上 is invaluable. It provides real-life visuals to help identify payment systems, 相关的风险, 以及保护措施. 该工具涵盖了15种常见类型的支付卡实现及其风险概况. 这 有价值的工具 is available 在PCI安全委员会的网站上.

安全付款指引

的 安全付款指引  explains core concepts, risks, terminology, and protection strategies. It also serves as a hub for other useful PCI documents and tools. 这 guide is free 在PCI安全委员会的网站上.

向供应商提出的问题

为了有效地管理服务提供商和供应商，PCI安全委员会提供 向供应商提出的问题 . 此资源包括确保供应商保护客户信用卡数据的特定问题. It is free and available 在PCI安全委员会的网站上.

Focus on what matters while we handle your PCI compliance. 联系 us today for a quote or to discuss your needs. Call us at (844) 526-2732 or fill out the form below.