受支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)支配的企業(yè)必須滿足PCI驗(yàn)證請求，驗(yàn)證其條款是否與銀行的相符。這些需求包括對服從性的周期性報(bào)告(ROC)，漏洞掃描，滲透測試和Web應(yīng)用測試。在這一點(diǎn)上，我們檢查了這些需求，列出了保持PCI DSS服從性的詳細(xì)提綱。

或許最重要的PCI請求就是最小的商家必須向自己的銀行提交年度服從性驗(yàn)證報(bào)告。這些報(bào)告的范圍以及個人執(zhí)行評估資格都依據(jù)企業(yè)所達(dá)到的PCI DSS商家級別而定。

***的商家屬于一級商家，他們必須每年出具獨(dú)立的審計(jì)結(jié)果。這一審計(jì)結(jié)果可以是有資質(zhì)的安全評估員(QSA)或是該公司內(nèi)部管理人員指定的審計(jì)團(tuán)隊(duì)。在其他情況下，QSA或內(nèi)部審計(jì)員都會完成一個ROC然后提交給公司所使用的商業(yè)銀行。二級和三級商家或許會通過自己的IT部門和企業(yè)員工完成評估報(bào)告，然后把結(jié)果記錄到自評問卷中(SAQ)。

審計(jì)的范圍依據(jù)商家持卡人數(shù)據(jù)環(huán)境的特征而定——本質(zhì)上，越復(fù)雜的環(huán)境，審計(jì)的范圍就越廣。可能性如下：

◆SAQ A是最簡單的形式，供那些外包了所有卡片處理職責(zé)的商家使用

◆SAQ B則要求印記唯一或獨(dú)立撥號且不能用電子方式保存任何持卡人數(shù)據(jù)的終端用戶

◆SAQ C可用于具備聯(lián)網(wǎng)支付系統(tǒng)但不能保存持卡人數(shù)據(jù)的商家。還有供使用虛擬終端的商家使用的單獨(dú)SQA C版本。

◆SAQ D是最復(fù)雜的形式，所有無法滿足最短SAQ的商家都需要使用SAQ D。包括哪些可以使用可保存持卡人信息的系統(tǒng)的商家。

當(dāng)然，盡可能深入SAQ鏈符合是每個商家利益的行為。如果你的企業(yè)還不具備滿足SAQ A的資質(zhì)就不要妄想SAQ D。

漏洞掃描

所有使用對外IP地址的商家都必須按季度執(zhí)行網(wǎng)絡(luò)漏洞掃描，并將結(jié)果提交給自己的商業(yè)銀行。PCI DSS標(biāo)準(zhǔn)要求企業(yè)通過他們授權(quán)的掃描供應(yīng)商(ASV)執(zhí)行掃描，但是企業(yè)所使用的銀行可能需要使用某個特定的掃描服務(wù)供應(yīng)商。許多商業(yè)銀行要求使用單獨(dú)的ASV合作伙伴，因?yàn)檫@些ASV可以讓銀行直接訪問加固的報(bào)告，減輕了銀行的管理負(fù)擔(dān)。

當(dāng)然，簡單執(zhí)行掃描還不夠——必須通過掃描才能確定其對PCI DSS的服從性。基于這一原因，在運(yùn)行正式掃描前，公司可以先運(yùn)行常規(guī)服從性掃描。

安全測試

如果公司的基礎(chǔ)設(shè)施需要處理持卡人數(shù)據(jù)，可使用另外兩種要求：滲透測試和Web應(yīng)用評估。企業(yè)必須每年對持卡人數(shù)據(jù)環(huán)境執(zhí)行內(nèi)部和外部的滲透測試，包括網(wǎng)絡(luò)和應(yīng)用層測試。同樣，使用Web應(yīng)用的企業(yè)必須每年執(zhí)行常規(guī)Web 應(yīng)用評估，在重大改變后也要執(zhí)行Web應(yīng)用評估。所有的測試都必須通過有資質(zhì)的安全顧問或是員工執(zhí)行，執(zhí)行測試的員工不應(yīng)該是執(zhí)行系統(tǒng)維護(hù)的人。

隨著公司創(chuàng)建PCI DSS服從項(xiàng)目的發(fā)展，越來越有必要記住這些要求。可以規(guī)劃一個為期一年的評估和測試，這樣公司就不會在年末的時候錯過截止期限或是急急忙忙趕著滿足PCI驗(yàn)證要求。***，請確保你保留了公司評估的所有文件，這樣就可以將服從性的評估情況向?qū)徲?jì)員解釋。