Long-Term PCI Data Security Standards Support
如果你储存, process or transmit credit card data, 您的业务受支付卡行业数据安全标准(PCI DSS)的约束. PCI DSS是一组安全规则,旨在防止代价高昂的破坏和盗窃.
LBMC网络安全提供一整套数据安全服务,帮助您实现和维护PCI合规性.
客户证明
网络安全意识播客:PCI合规的新工具
在本期播客中, LBMC的Bill Dean和John Dorling讨论了一些可用的工具来帮助那些试图实现PCI合规性的商家.
特色博客文章
Streamlined PCI 合规 服务 Overview
作为PCI认证合格安全评估员(QSA), LBMC提供专家指导,帮助客户浏览PCI法规并保持遵从性. 我们提供切实可行的解决方案,并强调长期合作关系. 明升体育app下载低流动率确保您每年与相同的QSA合作.
PCI 审计 and Report on 合规 (ROC)
- 概述: 只有一级商家和服务提供商被要求提交由qsa领导的ROC, 尽管无论公司规模大小,收购者都可能要求这样做.
- 过程: 明升体育app下载团队将指导您从审核过程的范围和细分,到发布最终的ROC和合规证明(AOC)。. 我们还为多个框架提供了“一次审计,多次报告”的方法.
PCI差距分析
- 目的: 评估当前PCI合规工作并确定需要改进的领域.
- 过程: We provide guidance on scope reduction, 采访关键员工, perform testing procedures, 并提供一份可操作的补救步骤清单,为PCI审计或自我评估问卷做准备.
ASV Quarterly Scanning
- 要求: PCI要求11.2.1要求由认可扫描供应商(ASV)进行季度漏洞扫描.
- 服务: 明升体育app下载ASV服务包括使用行业领先的扫描引擎进行一年的无限制扫描, 用于自我评估问卷的安全门户, scan scheduling and administration, and electronic filing with acquiring banks.
自我评估问卷D版(SAQ-D)完成
- 支持: 我们进行访谈和演练,以协助PCI DSS SAQ-D.
- 结果: 确保正确识别持卡人的数据环境,并填写SAQ-D表格.
PCI Flash Assessment
- 摘要目的: 提供快速评估以指导您的PCI遵从性策略.
- 专注: Determine PCI scope and segmentation.
PCI Consulting (Virtual QSA)
- 服务: 通过高级PCI QSA的教育,接受PCI合规方面的专家建议.
- 好处: 及时获得影响PCI合规性的当前项目的答案和解决方案, only paying for the time you need.
PCI and Web Application Security 服务
渗透测试
- 摘要目的: Ensure compliance with PCI DSS Requirement 11.3.
- 方法: 明升体育app下载测试流程符合PCI DSS要求,包括CDE边界验证. 这有助于评估您对安全攻击的易感性.
Web Application Security Assessments
- 摘要目的: 评估web应用程序的安全性,确保符合PCI DSS要求.6.
- 方法: 我们进行“灰盒”评估(无法访问源代码),以识别可能被攻击者利用的漏洞.
卡片数据发现
- 摘要目的: 识别所有存储的卡数据以满足PCI要求.
- 方法: 我们扫描文件和数据存储,并选择将发现扩展到PII和ePHI.
PCI Training and Education
- 摘要目的: 改善组织的安全状况,降低持卡人数据的风险.
- 方法: 我们提供教育和培训,以提高员工对PCI安全和一般安全实践的认识, reducing susceptibility to people-based attacks.
网络安全 Sense Podcast: PCI Pen Testing
在这一集中,Bill Dean和斯图尔特 异常兴奋的讨论了PCI遵从性的渗透测试. 了解渗透测试和漏洞评估之间的区别, 以及满足PCI合规性要求所需的内容.
渗透测试和PCI合规性要求
采用PCI DSS的组织必须证明其年度合规性并进行定期安全测试, including penetration tests. 这些测试可以自行管理,也可以在PCI合规性审核期间由第三方执行. 渗透测试模拟网络攻击以暴露漏洞, offering insights into PCI DSS effectiveness.
What is a Penetration Test?
渗透测试是由您的组织或第三方安全合作伙伴执行的故意网络攻击,以识别潜在的漏洞. 这 test simulates various attacks, from malicious software to human hacking, to assess your system’s defenses. PCI requires annual penetration tests, which can be done internally, 但许多组织更喜欢使用第三方合作伙伴来进行公正的评估, 专家的观点.
好处 of Third-Party Testing
第三方测试人员提供了客观的观点,并带来了常见攻击技术的专业知识, 提供系统易感性的现实视角. 他们缺乏对您的网络的广泛了解,确保了一个真正的入侵者的观点. 这种方法避免了不可靠的DIY工具的陷阱,并确保了彻底的测试.
LBMC 网络安全 can review compliance efforts, conduct penetration tests to ensure compliance, and help develop an action plan for remediation.
Readiness Assessment: PCI 合规 Requirements
Importance of a Readiness Assessment
即使你已经完成了一份自我评估问卷,并相信自己是合规的, 让安全专家执行准备情况评估是明智的. 这验证了您已经正确地解释了PCI DSS规则,并且您的假设是有充分根据的. 商家经常误解PCI遵从性指南并错误地表示遵从性.
What is a Readiness Assessment?
准备情况评估可以帮助您在将来更自信地进行自我评估,并了解您的安全措施如何工作以及为什么工作. 它揭示了更稳健、更经济地管理安全性的机会.
Three Steps of a Readiness Assessment
1. Identify Cardholder Data 位置
- 确定持卡人数据在您的环境中存储、处理或传输的位置.
- 评估员将通过您的网络跟踪卡片数据流, 包括意想不到的地方,比如电子表格或电子邮件系统.
2. Define PCI 合规 Scope
- 通过跟踪卡数据的去向,确定哪些系统受PCI DSS规则的约束.
- 不接触卡数据的系统不在范围内, 通过专注于相关系统,帮助您节省时间和金钱.
3. Identify and Address Gaps
- 通过访谈、检查和流程演练将范围与PCI DSS需求进行比较.
- 常见的缺陷包括季度内部脆弱性评估, 缺失的补丁, 默认密码, and inadequate documentation.
Common Pitfalls and 解决方案
Quarterly Internal Vulnerability Assessments:
- 定期扫描缺失的补丁和其他漏洞.
- 检查并修复高风险结果,然后运行另一次扫描以确认问题已解决.
文档:
- 确保每个PCI规则(或“控制”)的文档被认为是兼容的.
- 回顾过去的扫描和文件,以准确地完成自我评估问卷.
LBMC网络安全可以审查您的合规工作, 确保遵从性, 并帮助您的团队制定补救措施的行动计划. 如需更多信息或帮助,请与我们联系.
PCI合规性审计:简化合规性报告
As a Qualified Security Assessor, 我们已经确定了一些步骤,使PCI合规性审计尽可能顺利地为商家运行.
3 Steps to a Successful PCI 合规 审计
1. Identify a Collaborative QSA.
- 为了使这个过程尽可能高效,它需要是一个协作的过程. 尝试识别并与一个对你的商业环境有深刻理解的QSA合作. QSA还应该能够清楚地解释其现场工作协议.
2. Get the Documents in Order.
- 合规性报告要求为每个控制提供文档——这实际上增加了相当多的文档. 寻找你的QSA,给你足够的时间来整理文件. Six weeks is an appropriate amount of lead time.
3. 提前谈话.
- QSA应在现场访问前几周安排与关键人员的面谈,以尊重他们的时间并收集必要的数据. 定期沟通对于在QSA报告之前快速解决不合规问题至关重要. 确保关键的内部联系人管理潜在问题并处理文档请求.
Avoid QSAs who don’t communicate before or after the assessment; find a partner who educates you throughout the process, enhancing your security and confidence.
Tools for Maintaining PCI 合规
Glossary of Payment and Security Terms
理解术语对于填写自我评估或与QSA沟通至关重要. 的 PCI Security Council offers a glossary with easy-to-understand explanations of technical terms used in payment security. 这 resource is free on the PCI Security Council’s website.
Common Payment Systems
For small or first-time merchants, the Common Payment Systems resource PCI安全委员会网站上的信息是无价的. 它提供了真实的视觉效果来帮助识别支付系统, 相关的风险, and protective actions. 该工具涵盖了15种常见类型的支付卡实现及其风险概况. 这 有价值的工具 可以在PCI安全委员会的网站上找到.
Guide to Safe Payments
的 Guide to Safe Payments 解释核心概念、风险、术语和保护策略. 它还可以作为其他有用的PCI文档和工具的中心. 该指南在PCI安全委员会的网站上是免费的.
Questions to Ask Your Vendors
为了有效地管理服务提供商和供应商,PCI安全委员会提供 Questions to Ask Your Vendors . 此资源包括确保供应商保护客户信用卡数据的特定问题. 它是免费的,可以在PCI安全委员会的网站上获得.
管理团队
当我们处理您的PCI合规性时,专注于重要的事情. 今天明升体育app下载报价或讨论您的需求. 请致电(844)526 -2732或填写以下表格.