PCI DSS 的安全要求由各卡组织或透过收单机构 (Acquirers) 要求在产业中涉及传输、储存、处理卡数据的所有单位,其中包括依据处理的交易笔数 (Transaction Count) 区分出等级的要求。
1. 600 万笔/ 每年 以上 | 每年一次进行 PCI DSS 现场稽核,并且每季进行 ASV 网络扫描 | 核可安全稽核员 (QSA) 核可扫描服务供应商 (ASV) |
2. 100 万笔/ 每年 以上 | 每年完成 PCI DSS 自我评估问卷 (SAQ),并且每季进行 ASV 网络扫描 | 商戶 核可扫描服务供应商 |
3. 20 万笔/ 每年 以上 | 每年完成 PCI DSS 自我评估问卷 (SAQ),并且每季进行 ASV 网络扫描 | 商戶 核可扫描服务供应商 |
4. 2 万笔/ 每年 以下 | 每年完成 PCI DSS 自我评估问卷 (SAQ),并且每季进行 ASV 网络扫描(选项) | 商戶 核可扫描服务供应商 |
标准
由于 PCI DSS 主要目的在于保护持卡人数据的安全,12 个领域的安全要求也可以进一步的视为以卡数据为中心的层次保护。
弱点
加密
系统
开发
数据
监视
网络、防火墙
存取控制
政策
PCI DSS 合规审查与顾问咨询
PCI DSS 合规审查与咨询作业流程如下图,PCI DSS 的审查作业主要针对现有已经实施的安全管理作业,安全技术保护机制进行检查。一般而言,一个完整的 PCI DSS 项目从开始规划、实施到通过审查认证大约的时间,中小型组织约在 6-8 周内 (不含系统开发的时程),大型组织约在 8-12 周。其中包含了规划阶段,顾问阶段与认证阶段。

一般而言,PCI DSS 之合规审查服务是一个长期、持续性的评估作业,接受认证之客户在设计时间、技术项目实施阶段、顾问咨询阶段以及后续正式评估阶段,均会由项目中负责 PCI DSS QSA 的作业的审查人员提出对于系统、技术、管理面的各面向查核结果,并搭配咨询顾问随时提出对于系统设计、架构、文件或管理作业的修正建议。
于通过 PCI DSS 合规审查作业后,由本公司 PCI DSS QSA 人员签发 Report On Compliance (ROC) 合规报告书与核发 Attestation of Compliance (AOC) 证明书并经过客户代表主管签认后,就可以完成通过合规审查之作业。
安全领域要求及合规实施重点
联系我们
如有任何问题,欢迎随时与我们联系!