支付卡行业数据安全标准(或PCI DSS)为处理这些问题的商家提供了全面的安全指南, 商店, 或者传送信用卡数据. 不符合此行业创建, 行业维护的监管可能导致罚款,甚至信用卡处理能力的丧失.

对许多商家来说,真正的成本来自于 in 遵从性——为确保适当的安全基础设施而花费的时间和金钱, 你的系统满足所有必要的要求, 而且你有文件证明你的努力. 根据商家的规模和环境,这些成本可能相差很大.

对于许多商家和服务提供商来说,PCI文档似乎是一个漫长而艰苦的过程. 与我共事的许多人将其描述为“盯着如山的政策文件,不知道从哪里开始攀登”.“但, 在您弄清楚如何攀登文档山之前, 确定需要记录的各种信息文档和任务是很重要的.

PCI合规需要的3种文档

编译有效的PCI文档的第一步是定义需要记录的各种类型的文档. 以下是三个需要考虑的重要因素:

1. 政策.

策略定义 你做什么 当涉及PCI合规性. 例如,“所有存储的敏感数据都应加密。.政策是指指示预定行动路线的管理指示, 或者处理问题或情况的方法.  定义策略通常是管理层的职责,因为他们更熟悉法规遵循义务和执行指令. 作为一名经理, 您可以选择将编写文档的任务分配给团队成员, 但是,您需要为政策内容提供指导和批准.

2. 标准.

标准定义了维护策略所需的内容. 例如,“所有加密的数据都需要使用AES 256位的加密密钥进行加密。.标准是执行管理层政策的强制性指令,用于衡量政策的遵从性. 的 PCI安全标准 因组织类型和规模不同而不同, 因此,了解并记录您的业务需要哪些标准是很重要的.

3. 程序. 

过程定义了如何应用PCI需求. 例如, “为了达到标准, 我们必须创建加密密钥, 2)安装密钥到应用程序, 3)执行加密过程, 等等.过程被设计成一系列的步骤,作为一种一致和重复的方法或循环来完成最终的结果. 它们提供了一个有用的窗口,让人们了解任务是如何执行的,并可能揭示合规方面的潜在失误.

你需要记录的三种任务 

一旦您理解了PCI合规所需的各种类型的文档, 下一步是确定将在您的过程中定义的所有各种任务. 为了简化事情,我经常鼓励客户将任务放在三个主要的桶中.

1. 关键任务.

这些是组织已经记录的最常见的任务类型. 关键任务包括备份和恢复, 配置或构建过程, 和事件响应. 这些是你想要记录的任务,以确保你不会错过会给你或你的团队带来麻烦的步骤!

2. 普通t问. 

这些任务可能会让你思考,我每天都在做,为什么我需要记录它?然而,重要的是要记住,文档不只是为你准备的. 如果你离开了你的公司或者没有时间,这项任务不会就这么消失了. 你的某个同事或新员工可能会介入并完成这项工作. 记录常规任务有助于避免大量的清理工作,而这些工作本来是可以避免的.

3. 罕见的任务. 

这些是你害怕的任务,因为它们不会经常出现, 但, 当他们做, 你知道要回忆上次你是怎么做的要花点功夫. 这些通常涉及很少使用的系统或不需要太多照料和喂养的稳定应用程序. 通常,这是一项手工任务. 这就是为什么我鼓励客户在你完成任务的时候把任务记录下来. 如果你等一会儿的话, 你可能会忘记一些很重要的细节,下次再来的时候.

降低PCI合规成本的3种关键方法

1. 探索细分的机会

PCI DSS适用于所有处理信用卡信息的系统. 但是,大多数商家可能有很多系统从来没有接触过信用卡数据:建筑管理系统, 例如. 如果这些其他系统与支付处理系统相隔离(或“分割”), 它们可以不受PCI法规约束. 对于许多商家来说,细分可以帮助限制PCI安全措施和支出的范围. 不过,给你个警告. 有时, 如果你的企业规模较小,电脑数量有限,那么你的支付流程和其他系统共存就很有意义了, 例如. 仔细的逐案评估是确定分割是否对你有意义的最好方法.

2. 与安全合作伙伴合作

适用于系统复杂的大型商家, 合规的成本可能会很高,这仅仅是因为它们的操作范围. 通过将一些安全责任转移给第三方公司,这些中型到大型企业通常会得到很好的服务. 例如, 来自安全提供商的托管安全解决方案可以帮助实现对网络入侵的持续监控和快速响应,而且成本低于使用高补偿内部资源实现这些目标的成本. 在获得合规报告(或RoC)的过程中,向收单银行演示PCI合规情况, 许多企业已经与合格的安全评估人员合作.

Qualified Security Assessor是一个第三方安全组织,如LBMC,它已经被PCI安全标准委员会(PCI安全标准 Council)审查和认证为第三方审计员. 许多企业不知道的是,QSA(可能已经熟悉您的安全操作和需求)还可以提供额外的安全服务, 例如渗透测试和托管安全解决方案. 第三方组织不能完全承担你的PCI责任. 您仍然必须验证并能够证明合规. 但是您可以利用他们的专业知识来实现更经济的成本, 定制解决方案,减轻您的负担.

3. 补偿控制

而较大的组织可能不得不处理更大的系统范围, 较小的组织也面临着自己的挑战. 通常,小企业在安全解决方案上的资金较少. 相应的, PCI DSS包含一个规范,允许使用“补偿控件”来代替标准规则(也称为“控件”)。. 该规范允许您查看给定控件试图完成的任务. 它是在保护卡片数据吗? 核心系统?

“补偿控件”规范允许您实现不同的解决方案,以实现与原始控件相同的目标. 通常,这些补偿控制代表着更便宜或更不具侵略性的替代方案. 没有适用于补偿控制的通用规则或情况——每种情况对每个商人都是独特的,应该独立考虑.

说了这么多, 当组织意识到存在它无法满足的特定PCI控制时,QSA处于帮助组织识别和记录适当补偿控制的最佳位置. 如果您由于技术环境中的成本或限制而难以实现或维护某些PCI控制, 人员配备模型, 或业务应用程序, 考虑与QSA合作,以确定一个更合理的替代方案.

向PCI合规性迈出第一步

PCI文档是提高您的安全配置文件和减少攻击的可能性的关键步骤. 如果你的商店, 流程, 或传输信用卡数据, 你有责任遵守PCI DSS.

 

友情链接: 1 2 3 4 5 6 7 8 9 10