1. 探索细分的机会
PCI DSS适用于所有处理信用卡信息的系统. 但是,大多数商家可能有很多系统从来没有接触过信用卡数据:建筑管理系统, 例如. 如果这些其他系统与支付处理系统相隔离(或“分割”), 它们可以不受PCI法规约束. 对于许多商家来说,细分可以帮助限制PCI安全措施和支出的范围. 不过,给你个警告. 有时, 如果你的企业规模较小,电脑数量有限,那么你的支付流程和其他系统共存就很有意义了, 例如. 仔细的逐案评估是确定分割是否对你有意义的最好方法.
2. 与安全合作伙伴合作
适用于系统复杂的大型商家, 合规的成本可能会很高,这仅仅是因为它们的操作范围. 通过将一些安全责任转移给第三方公司,这些中型到大型企业通常会得到很好的服务. 例如, 来自安全提供商的托管安全解决方案可以帮助实现对网络入侵的持续监控和快速响应,而且成本低于使用高补偿内部资源实现这些目标的成本. 在获得合规报告(或RoC)的过程中,向收单银行演示PCI合规情况, 许多企业已经与合格的安全评估人员合作.
Qualified Security Assessor是一个第三方安全组织,如LBMC,它已经被PCI安全标准委员会(PCI安全标准 Council)审查和认证为第三方审计员. 许多企业不知道的是,QSA(可能已经熟悉您的安全操作和需求)还可以提供额外的安全服务, 例如渗透测试和托管安全解决方案. 第三方组织不能完全承担你的PCI责任. 您仍然必须验证并能够证明合规. 但是您可以利用他们的专业知识来实现更经济的成本, 定制解决方案,减轻您的负担.
3. 补偿控制
而较大的组织可能不得不处理更大的系统范围, 较小的组织也面临着自己的挑战. 通常,小企业在安全解决方案上的资金较少. 相应的, PCI DSS包含一个规范,允许使用“补偿控件”来代替标准规则(也称为“控件”)。. 该规范允许您查看给定控件试图完成的任务. 它是在保护卡片数据吗? 核心系统?
“补偿控件”规范允许您实现不同的解决方案,以实现与原始控件相同的目标. 通常,这些补偿控制代表着更便宜或更不具侵略性的替代方案. 没有适用于补偿控制的通用规则或情况——每种情况对每个商人都是独特的,应该独立考虑.
说了这么多, 当组织意识到存在它无法满足的特定PCI控制时,QSA处于帮助组织识别和记录适当补偿控制的最佳位置. 如果您由于技术环境中的成本或限制而难以实现或维护某些PCI控制, 人员配备模型, 或业务应用程序, 考虑与QSA合作,以确定一个更合理的替代方案.