《PCIDSS认证》由会员分享,可在线阅读,更多相关《PCIDSS认证(2页珍藏版)》请在金锄头文库上搜索。
1、商户PCI DSS合规服务我们将向客户提供预先设计的遵规性验证服务,负责管理全部遵规过程并帮助达致遵规目标。我们的合规安全评估师和安全专家将在整个合规验证服务过程中对客户提供支持,以保证其符合合规性。服务将包括五个主要方面的内容:咨询类服务:我们的安全顾问将在服务前期与客户的相关人员面谈,会议交流将详细阐述PCI DSS标准的12个方面的316条要求,同时顾问会对客户作一次全面系统的了解,以帮助客户发现目前存在的问题,并给出指导建议和书面报告,协助客户整改的工作。这些服务内容将包含:差距分析、整改修复建议、网络分割指导、流程与策略的文档服务以及安全应急响应的预案等内容;技术类服务:PCI DS
2、S要求进行验证的组织每年必须进行相关的技术性检测,以查找该组织存在的相关漏洞和问题,防止外部或内部的非法入侵,进一步保证支付卡数据的安全。这些服务内容将包含:外部漏洞扫描(至少每年4次)、内部漏洞扫描(至少每年4次)、外部渗透测试、内部渗透测试等专业的技术服务实施;培训类服务:因PCI标准要求进行验证的组织需要每年进行信息安全相关的培训,以确保组织内的所有人都能够正确防范可能会出现的安全隐患,以及对问题出现时确保拥有及时可靠的补救方法,这些培训将包括:安全意识培训、应急响应培训等;系统维护类服务:保护支付卡数据的安全,首先要保证存储、传输或处理支付卡数据所在的环境的安全性,我们将从专业的角度帮
3、助客户搭建一套完整、安全并符合要求的系统运营环境,这些服务将包括:UTM、NAC、日志监控服务、时钟同步管理服务、Web监控服务、数据丢失保护、网页内容管理服务等;审查类服务:我们将严格按照PCI的要求对客户进行全面的审查,审查的内容可能涉及系统、网络环境、应用程序、管理流程、人员意识等,以确保客户能够符合PCI DSS的要求并按照建立好的规范流程持续的执行。这些服务内容将包括:远程验证、现场验证、QA等。支付行业PCI DSS数据信息安全标准第三方支付行业信息安全标准,也就是PCI DSS,全称为Payment Card Industry Data Security Standard。五大卡
4、组织联合制定支付卡行业(PCI)信息安全标准(DSS)以促进并提高持卡人资料安全,全球广泛采用统一的信息安全标准。PCI DSS提供用于保护持卡人信息安全的技术与作业要求之基准。PCI DSS适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。PCI DSS包括一组保护持卡人信息的基本要求,并可能增加额外的管控措施,以进一步降低风险。PCI DSS信息安全标准概要有6大项,12小项,整个PCI安全标准基本就围绕这些项目进行的,正在或准备有意向要做PCI合规审查的电商可以作为参考。对自己的整个系统做个评估,是否达到以下要求。想
5、要更深入了解的朋友可以单独联系我们,我们的高级咨询顾问会给您讲解整个PCI认证的流程与须知。至今,航天亿展已经成功为多家第三方支付提供商、银行、航空及大型电商完成了PCI DSS认证,拥有丰富的经验、强大的团队来帮助您完成PCI DSS认证。什么组织才需要做PCI认证?PCI认证是全球性的吗?在整个金融行业、外贸B2B、B2C、第三方支付行业里头,目前只有接触外贸信用卡收单业务的组织需要通过PCI DSS认证,这是VISA、MasterCard等国外五大卡组织硬性规定的。也就是说,想接VISA、MC等国外信用卡通道,就需要过PCI DSS认证。而PCI认证的费用是不低的,根据不同的网络规模,有
6、不同的价格。几万到几百万不等。随着信息安全的普及和发展,我们相信在不久,PCI DSS信息安全标准也会受到更多领域的认可并扩大适用范围使用此标准。PCI认证针对不同组织的网络规模,分为不同的几个等级。第一个等级(Level 1):交易量庞大,组织体系完整,网络环境巨大的组织。如银行、第三方支付、航空等。第二个等级(Level 2):交易量一般,组织体系完整,网络环境较小的组织。如比较有实力的电商企业。第三个等级(Level 3):交易量较小,组织体系不完善,租用服务器空间的组织。如个人、SOHO。PCI信息安全标准6大项12小项建立并维护安全的网络1、安装于维护防火墙设定以保护持卡人资料。2、对于系统密码及其他安全参数,不能使用供应商提供的预设值(默认密码)。保护持卡人信息3、保护存储的持卡人资料。4、加密通过开放的公用网络传输的持卡人资料。维护漏洞管理程序5、使用并定期更新杀毒软件或程序。6、开发并维护安全系统和应用程序。实施严格的存储控制措施7、限制为只有业务需要的人才能存取持卡人资料。8、为具有电脑存取权的每个人指定唯一的ID。9、限制对持卡人资料的实际存储。定期监控并测试网络10、追踪并监控对网络资源及持卡人资料的所有存取。11、定期测试安全系统和程序。维护信息安全政策12、维护满足所有人员信息安全需求的政策。
