【PCI DSS】如何达成 PCI DSS v4.0 条文中 12.4.2 针对服务供货商的额外要求?

服务供货商 (Service Providers) 每季需依据 PCI DSS v4.0 – 12.4.2 条文( PCI DSS v3.2.1 – 12.11 ) 确认公司的安全政策、程序等，是被实质上执行且进行定期各项控制措施检查。

PCI DSS v4.0 – 12.4.2条文中，列举了五项检查项目，包含但不限于：

a) 每日日誌審核

每三個月執行日誌審查，確保審查作業如期完成。

在 PCI DSS v4.0 的要求中，以 “自動化方式” 執行審查為主，故在環境中建議配置如 SIEM、Log Analyzer 等機制，確保標的日誌自動化執行定期審查。

b) 網路安全控制的配置審核

針對網路安全控制設備 (如防火牆)，每半年需進行 Rule-set 審查。

確認相關人員是否執行定期作業；Rule-set 的申請作業是否遵循公司規定，執行核准及相關測試等等。

c) 在新加入的系統、設備應用配置標準

環境中若有新增系統、設備，需套用已建立完善的配置標準並於每季執行網路設備、主機環境 (作業系統)、資料庫…等等檢查。

d) 回應安全警報

各類安全事件告警，是否依照公司規定的事件/事故回應流程 (如 Incident Response Plan, IRP) 進行處理及回應。

e) 變更管理程序

各類系統設備、應用系統，若有變更、部署的需求，應遵循公司規定的部署/發布流程進行。

在 PCI DSS v4.0 12.4.2.1 条文中，也要求：

简言之，PCI DSS v4.0 12.4.2 条文主要要求「遵循性」，专责人员需将已订立的各项措施、流程、政策等，确实地执行并定期检查，使公司的合规作业更趋完整及稳定。