长期PCI数据安全标准支持

如果你储存, process or transmit credit card data, 您的业务受支付卡行业数据安全标准(PCI DSS)的约束. PCI DSS是一组安全规则,旨在防止代价高昂的破坏和盗窃.

LBMC网络安全提供一整套数据安全服务,帮助您实现和维护PCI合规性.

Client Testimonial

的图标
与LBMC在PCI合规性方面的合作帮助我们为保险客户提供了更安全的产品.
一家领先的软件公司的信息安全审计高级经理

网络安全意识播客:PCI合规的新工具

在本期播客中, LBMC的Bill Dean和John Dorling讨论了一些可用的工具来帮助那些试图实现PCI合规性的商家.

Streamlined PCI 合规 服务 Overview

作为PCI认证合格安全评估员(QSA), LBMC提供专家指导,帮助客户浏览PCI法规并保持遵从性. 我们提供切实可行的解决方案,并强调长期合作关系. 明升体育app下载低流动率确保您每年与相同的QSA合作.

PCI 审计 and Report on 合规 (ROC)

  • 概述: 只有一级商家和服务提供商被要求提交由qsa领导的ROC, 尽管无论公司规模大小,收购者都可能要求这样做.
  • 过程: 明升体育app下载团队将指导您从审核过程的范围和细分,到发布最终的ROC和合规证明(AOC)。. 我们还为多个框架提供了“一次审计,多次报告”的方法.

PCI Gap Analysis

  • 目的: 评估当前PCI合规工作并确定需要改进的领域.
  • 过程: We provide guidance on scope reduction, interview key staff, perform testing procedures, 并提供一份可操作的补救步骤清单,为PCI审计或自我评估问卷做准备.

ASV Quarterly Scanning

  • 要求: PCI Requirement 11.2.1要求由认可扫描供应商(ASV)进行季度漏洞扫描.
  • 服务: 明升体育app下载ASV服务包括使用行业领先的扫描引擎进行一年的无限制扫描, 用于自我评估问卷的安全门户, scan scheduling and administration, and electronic filing with acquiring banks.

自我评估问卷D版(SAQ-D)完成

  • 支持: 我们进行访谈和演练,以协助PCI DSS SAQ-D.
  • 结果: 确保正确识别持卡人的数据环境,并填写SAQ-D表格.

PCI Flash Assessment

  • 摘要目的: 提供快速评估以指导您的PCI遵从性策略.
  • 专注: Determine PCI scope and segmentation.

PCI Consulting (Virtual QSA)

  • 服务: 通过高级PCI QSA的教育,接受PCI合规方面的专家建议.
  • 好处: 及时获得影响PCI合规性的当前项目的答案和解决方案, only paying for the time you need.

PCI and Web Application Security 服务

Penetration Testing

  • 摘要目的: 确保符合PCI DSS要求11.3.
  • 方法: 明升体育app下载测试流程符合PCI DSS要求,包括CDE边界验证. 这有助于评估您对安全攻击的易感性.

Web Application Security Assessments

  • 摘要目的: 评估web应用程序的安全性,确保符合PCI DSS要求.6.
  • 方法: 我们进行“灰盒”评估(无法访问源代码),以识别可能被攻击者利用的漏洞.

Card Data Discovery

  • 摘要目的: 识别所有存储的卡数据以满足PCI要求.
  • 方法: 我们扫描文件和数据存储,并选择将发现扩展到PII和ePHI.

PCI Training and Education

  • 摘要目的: 改善组织的安全状况,降低持卡人数据的风险.
  • 方法: 我们提供教育和培训,以提高员工对PCI安全和一般安全实践的认识, 减少对以人为本的攻击的易感性.

网络安全 Sense Podcast: PCI Pen Testing

在这一集中,Bill Dean和斯图尔特 异常兴奋的讨论了PCI遵从性的渗透测试. 了解渗透测试和漏洞评估之间的区别, 以及满足PCI合规性要求所需的内容.

渗透测试和PCI合规性要求

采用PCI DSS的组织必须证明其年度合规性并进行定期安全测试, including penetration tests. 这些测试可以自行管理,也可以在PCI合规性审核期间由第三方执行. 渗透测试模拟网络攻击以暴露漏洞, offering insights into PCI DSS effectiveness.

What is a Penetration Test?

渗透测试是由您的组织或第三方安全合作伙伴执行的故意网络攻击,以识别潜在的漏洞. 这 test simulates various attacks, from malicious software to human hacking, to assess your system’s defenses. PCI requires annual penetration tests, which can be done internally, 但许多组织更喜欢使用第三方合作伙伴来进行公正的评估, expert perspective.

好处 of Third-Party Testing

第三方测试人员提供了客观的观点,并带来了常见攻击技术的专业知识, 提供系统易感性的现实视角. 他们缺乏对您的网络的广泛了解,确保了一个真正的入侵者的观点. 这种方法避免了不可靠的DIY工具的陷阱,并确保了彻底的测试.

LBMC网络安全可以审查合规工作, 进行渗透测试以确保合规性, 并帮助制定补救行动计划.

准备评估:PCI合规性要求

Importance of a Readiness Assessment

即使你已经完成了一份自我评估问卷,并相信自己是合规的, 让安全专家执行准备情况评估是明智的. 这验证了您已经正确地解释了PCI DSS规则,并且您的假设是有充分根据的. 商家经常误解PCI遵从性指南并错误地表示遵从性.

What is a Readiness Assessment?

准备情况评估可以帮助您在将来更自信地进行自我评估,并了解您的安全措施如何工作以及为什么工作. 它揭示了更稳健、更经济地管理安全性的机会.

Three Steps of a Readiness Assessment

1. Identify Cardholder Data 位置

  • 确定持卡人数据在您的环境中存储、处理或传输的位置.
  • 评估员将通过您的网络跟踪卡片数据流, 包括意想不到的地方,比如电子表格或电子邮件系统.

2. Define PCI 合规 Scope

  • 通过跟踪卡数据的去向,确定哪些系统受PCI DSS规则的约束.
  • 不接触卡数据的系统不在范围内, 通过专注于相关系统,帮助您节省时间和金钱.

3. Identify and Address Gaps

  • 通过访谈、检查和流程演练将范围与PCI DSS需求进行比较.
  • 常见的缺陷包括季度内部脆弱性评估, 缺失的补丁, default passwords, and inadequate documentation.

Common Pitfalls and 解决方案

Quarterly Internal Vulnerability Assessments:

  • 定期扫描缺失的补丁和其他漏洞.
  • 检查并修复高风险结果,然后运行另一次扫描以确认问题已解决.

文档:

  • 确保每个PCI规则(或“控制”)的文档被认为是兼容的.
  • 回顾过去的扫描和文件,以准确地完成自我评估问卷.

LBMC网络安全可以审查您的合规工作, assure compliance, 并帮助您的团队制定补救措施的行动计划. 如需更多信息或帮助,请与我们联系.

PCI合规性审计:简化合规性报告

As a Qualified Security Assessor, 我们已经确定了一些步骤,使PCI合规性审计尽可能顺利地为商家运行.

3 Steps to a Successful PCI 合规 审计

1. Identify a Collaborative QSA.

  • 为了使这个过程尽可能高效,它需要是一个协作的过程. 尝试识别并与一个对你的商业环境有深刻理解的QSA合作. QSA还应该能够清楚地解释其现场工作协议.

2. Get the Documents in Order.

  • 合规性报告要求为每个控制提供文档——这实际上增加了相当多的文档. 寻找你的QSA,给你足够的时间来整理文件. 六周的交货时间是合适的.

3. Talk Ahead of Time.

  • QSA应在现场访问前几周安排与关键人员的面谈,以尊重他们的时间并收集必要的数据. 定期沟通对于在QSA报告之前快速解决不合规问题至关重要. 确保关键的内部联系人管理潜在问题并处理文档请求.

Avoid QSAs who don’t communicate before or after the assessment; find a partner who educates you throughout the process, enhancing your security and confidence.

Tools for Maintaining PCI 合规

Glossary of Payment and Security Terms

理解术语对于填写自我评估或与QSA沟通至关重要. 的 PCI Security Council offers a 词汇表与易于理解的解释 of technical terms used in payment security. 这 resource is free on the PCI Security Council’s website.

Common Payment Systems

For small or first-time merchants, the Common Payment Systems resource PCI安全委员会网站上的信息是无价的. 它提供了真实的视觉效果来帮助识别支付系统, 相关的风险, and protective actions. 该工具涵盖了15种常见类型的支付卡实现及其风险概况. 这 有价值的工具 可以在PCI安全委员会的网站上找到.

Guide to Safe Payments

Guide to Safe Payments  解释核心概念、风险、术语和保护策略. 它还可以作为其他有用的PCI文档和工具的中心. 该指南在PCI安全委员会的网站上是免费的.

Questions to Ask Your Vendors

为了有效地管理服务提供商和供应商,PCI安全委员会提供 Questions to Ask Your Vendors . 此资源包括确保供应商保护客户信用卡数据的特定问题. 它是免费的,可以在PCI安全委员会的网站上获得.

管理团队

Link to 斯图尔特 PCI Data Security Standards

斯图尔特 异常兴奋的

股东, 网络安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
Link to 画了 PCI Data Security Standards

画了 Hendrickson

股东 & Practice Leader, 网络安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔

当我们处理您的PCI合规性时,专注于重要的事情. 今天明升体育app下载报价或讨论您的需求. 请致电(844)526 -2732或填写以下表格.