【PCI DSS】 如何达成 PCI DSS v4.0 条文中 12.4.2 针对服务供货商的额外要求?
服务供货商 (Service Providers) 每季需依据 PCI DSS v4.0 – 12.4.2 条文( PCI DSS v3.2.1 – 12.11 ) 确认公司的安全政策、程序等,是被实质上执行且进行定期各项控制措施检查。 PCI DSS v4.0 – 12.4.2条文中,列举了五项检查项目,包含但不限于: a) 每日日誌審核 每三個月執行日誌審查,確保審查作業如期完成。 在 PCI DSS v4.0 的要求中,以 “自動化方式” 執行審查為主,故在環境中建議配置如 SIEM、Log Analyzer 等機制,確保標的日誌自動化執行定期審查。 b) 網路安全控制的配置審核 針對網路安全控制設備 (如防火牆),每半年需進行 Rule-set 審查。 確認相關人員是否執行定期作業;Rule-set 的申請作業是否遵循公司規定,執行核准及相關測試等等。 c) 在新加入的系統、設備應用配置標準 環境中若有新增系統、設備,需套用已建立完善的配置標準並於每季執行網路設備、主機環境 (作業系統)、資料庫…等等檢查。 d) 回應安全警報 各類安全事件告警,是否依照公司規定的事件/事故回應流程 (如 Incident Response Plan, […]