PCI QSA:常见问题
- atsec所服务的市场范围?
- 如果我不确认是否需要符合该标准,该怎么办?
- 如何决定是否需要独立的第三方评估或者自评估?
- 评估过程中有哪些主要工作内容?
- 如何找到合格的安全评估商(QSA:Qualified Security Assessor)?
- 评估的周期和成本?
- 评估的范围是什么?
- 我如何了解是否我可能通过?
- 如果我的业务不符合PCI DSS,将会导致什么后果?
- 如果出现数据缺陷和丢失,应该联系谁?
- 针对PCI符合性atsec可以提供给我哪些帮助?
- 我没有找到我的问题的答案,在哪里可以进一步查看?
atsec所服务的市场范围?
atsec在全球范围提供咨询服务。目前ASV扫描服务面向全球广泛的业务市场,PCI QSA评估专注于亚太地区(包括中国)、加拿大、美国和欧洲,PA QSA评估专注于亚太地区(包括中国),PFI取证调研服务专注于中国,P2PE评估专注于亚太地区(包括中国)、3DS安全评估面向亚太(包括中国)、加拿大、美国和欧洲,PIN安全评估面向全球。PCI服务得到全球范围监管机构和支付卡产业相关机构的高度认可。atsec设有德国、美国、瑞典和中国核心分支机构,提供全球化的信息安全服务。如果您的需求面向其他市场领域,请和我们联系。
[置顶]
如果我不确认是否需要符合该标准,该怎么办?
所有的商户(merchants)和服务提供商(Service providers)需要符合该标准的要求。针对如何向支付品牌展现符合性,不同的支付品牌各自明确的准则和要求不尽相同。
[置顶]
如何决定是否需要独立的第三方评估或者自评估?
一般来讲,位于高风险的处理大量交易的机构,或者已经被发现缺陷的机构都需要独立的第三方评估。不同的支付品牌针对评估有不同的要求。比如典型的方法是根据商户的交易量,规定商户的特定“级别”,不同的支付品牌可能要求特定级别的符合性评估由独立的合格的安全评估商(QSA:Qualified Security Assessor)来执行。atsec可以帮助您理解针对您的要求,或者您可以联系您的收单银行(acquiring bank)或者直接联系支付品牌(payment brand),从而了解您所要求的评估类别。
[置顶]
评估过程中有哪些主要工作内容?
大体上来讲,评估遵从于支付卡行业数据安全标准(PCI DSS:Payment card industry Data Security Standard)安全审计流程(Security Audit Procedures),该流程提供了检查清单(checklist)和测评流程。典型的模式是合格的安全评估商(QSA)首先审核您的环境和流程的文档。文档审核之后,进行现场评估(Onsite-assessment)验证您的文档体系实现的正确性,以及敏感数据的处理和存储是否符合标准的要求。最终QSA提供给您(以及如果适用提供给支付品牌)符合性报告(ROC:Report of Compliance)证明您满足了标准的要求,或者在可以颁发ROC之前提供给您需要解决的问题清单。
想了解更多的信息,请参阅 PCI DSS标准及其相关文档。
[置顶]
如何找到合格的安全评估商(QSA:Qualified Security Assessor)?
PCI安全标准委员会(SSC:Security Standard Council)在其官方网站上维护了合规的安全评估机构QSA的列表 ,该列表中的QSA是经过SSC(以及各个支付品牌)授权认可可以开展评估工作。
[置顶]
评估的周期和成本?
根据评估范围的不同将大有不同。一些机构范围非常小,可能只是包括一台单独的PC。而其他的更多的数据中心可能涉及广泛的范围。
编写符合性报告(ROC:Report of Compliance)也需要额外的时间。
请完成我们的信息获取(RFI:Request for Information)表格以便我们提供进一步协助,并提供时间和成本的估计。
[置顶]
评估的范围是什么?
所有涉及存储、处理和传输主账户号码(PAN:Primary Account Numbers),也即信用卡号码,以及所有与其在同一逻辑网络的所有系统,他们必须符合PCI数据安全标准(DSS:Data Security Standard)。通过减少涉及交易或者有可能进入相关数据的系统数量、实施网络分割(比如通过防火墙)、以及其他的有效方法可能被使用,从而有效的减少符合性评估工作的工作量。
[置顶]
我如何了解是否我可能通过?
我们推荐您完成由PCI SSC制定的自评估问卷(Self-Assessment Questionnaire) 。
对于较大规模的环境或者需要得到独立的第三方的意见和支持从而实现符合性的机构,我们推荐您联系我们进行准备评估(Readiness Assessment)。
[置顶]
如果我的业务不符合PCI DSS,将会导致什么后果?
如果出现了缺陷,没有符合标准的商户或者服务提供商可能面对支付品牌的经济处罚和相关操作处理结果。能够证明其符合标准的机构可能根据具体情况减少罚金。
[置顶]
如果出现数据缺陷和丢失,应该联系谁?
如果您怀疑或者已经确认安全缺陷导致了卡数据的泄露,您应该启动应急响应流程并按照支付品牌的特定流程进行通知。包括在规定时间内通知受影响的支付品牌,以及适当的法律执行机构。atsec可以帮助您决定需要做什么。
atsec 是经支付卡行业(PCI:Payment Card Industry)安全标准委员会(Security Standards Council)认可的PCI取证调研机构(PFI:PCI Forensic Investigators)。
atsec能够在产业监管机构和机构自身需要的时候执行中立的取证调研,并且出具初步事件响应报告(Preliminary Incident Response Report)和最终事件响应报告(Final Incident Report)。该服务旨在由atsec的IT安全专家帮助机构发现事件发生的原因,并如果可能采取进一步的行动。
参见atsec PCI PFI服务 。
[置顶]
针对PCI符合性atsec可以提供给我哪些帮助?
总体来讲,atsec 可以作为您符合PCI DSS标准的一站式提供商,并针对您的支付操作的相关信息安全问题提供帮助。我们可以帮助您实现数据安全标准的符合性。我们作为PCI SSC授权认可的QSA可以执行符合性评估工作,我们拥有多年的声誉和经验提供可靠诚信的信息安全测评、管理和技术咨询。
[置顶]
我没有找到我的问题的答案,在哪里可以进一步查看?
更多关于PCI SSC和PCI DSS的相关信息,请 访问PCI DSS网站或者和我们电子邮件联系 info_cn@atsec.com。