Verizon支付卡产业合规管理计划.pdf

解决方案简介： Verizon 支付卡产业合规管理计划 面临符合支付卡产业 (PCI) 合规标准的挑战？ 黑客和其他罪犯希望尽可能为获取有价值的信用卡数据，他们会用尽一切手段来访问这些数据。 支付卡产业安全标准委员会通过制定 PCI 数据安全标准 (PCI DSS) （该标准是旨在保护持卡人数 据的技术和操作要求），已解决这种不幸的情况。该标准用于约束全球所有商家和组织存储、处 理或传输此类数据。对于各自的利益相关者来说，遵守 PCI 标准是强制性的，并由设 立委员会的主要支付卡品牌强制执行。PCI DSS 包括以下六大类 12 项要求： • 构建和维护安全网络 • 保护持卡人数据 • 维护漏洞管理计划 • 实施功能强大的访问控制措施 • 定期监控和测试网络 • 维护信息安全政策 我们的支付卡产业 (PCI) 合规管理 计划是多年来帮助组织保护持卡人 数据的直接结果。 1 Verizon 支付卡产业合规管理计划 PCI 合规是对业务运营提出的关键要求，但实现这一要求的流程最后可以像年度消防演习一样。 您可能会发现您的组织面临以下挑战： 缺乏关注。PCI 合规是一个持续的过程，但许多组织在年度评估或自我评估调查问卷到期之前并 未关注到这一点。遗憾的是，这样会导致在报告合规 (ROC) 的最终期限之前仓促地收集信息、尝 试矫正差距。这个周期会对您的员工造成重大影响，并会对工作效率产生消极影响。 缺少矫正时间。确定 PCI 控制差距后，必须加以处理和解决。通常，确定差距与 ROC 最终期限之 间没有足够的时间，这样会导致更多的补偿控制，或者会因不合规而遭到罚款。 缺少资源。如许多企业一样，您可能没有额外的能力或专业知识，在要求的时限内矫正已确定的 差距。这样，在最后一刻创建的项目会产生额外费用，还会导致使用最初的可用供应商（不一定是 质量最高的供应商）。 PCI 合规管理计划 – 明智的方法 我们意识到在最后一刻匆忙确立的方法所带来的问题，我们可以帮助您解决这些问题。我们为 商家提供了一个全面的方法，该方法可用于准备年度 PCI 评估、减轻与流程相关的压力，使这些 商家有机会符合预期的 PCI 控制，并减少所需补偿控制的数量。 Verizon PCI 合规管理计划创建了一种连续性合作伙伴关系，以帮助您管理 PCI 合规要求，并评估 您的网络以及保护持卡人数据的系统的安全性。Verizon 合规管理计划旨在提供合格的安全评估 机构 (QSA) 资源以监控您的 PCI 合规计划，因此它为您准备了 PCI 委员会要求的年度 PCI 评估。 作为计划的一部分，我们将评估您的安全控制、PCI 数据的安全性，并根据 PCI 数据安全标准 (DSS) 要求提供年度渗透测试。该计划还包括 PCI 评估，所有第 1 级商家和服务提供商都必须执 行该评估；第 2 级商家也可以受益。 一系列 PCI 控制审查和矫正一年进行一次，其中包括要求的渗透测试。每季度对一组 PCI 控制进 行评估，以确定是否存在应矫正的任何差距。通常需要花费很多时间进行矫正的控制已在前两次 季度审查中完成，从而为您符合 PCI 标准提供了更好机会。我们的计划还包括针对范围内的外部 网络、内部网络和应用程序的渗透测试。 我们每年都会针对 全球商家和服务提 供商执行数百次的 PCI 合规评估。 2 Verizon 支付卡产业合规管理计划 Verizon PCI 合规管理计划不是轻量级清单审查，而是由经验丰富的合格安全评估机构 (QSA) 执行 为什么选择 Verizon Business ？ 的重点分析。控制效果和支持证据是实现 PCI 合规的关键因素。以下四个方面概述了 PCI 合规的 • 我们在 2008 年交付了 1200