PCI DSS 的安全要求由各卡組織或透過收單機構 (Acquirers) 要求在產業中涉及傳輸、儲存、處理卡資料的所有單位,其中包括依據處理的交易筆數 (Transaction Count) 區分出等級的要求。
|
|
|
1. 600 萬筆交易/每年 以上1 | 每年一次進行 PCI DSS 現場稽核,並且每季進行 ASV 網路掃描 | 核可的安全稽核員 (QSA) 核可掃描服務供應商 (ASV) |
2. 100 萬筆交易/每年 以上 | 每年完成 PCI DSS 自我評估問卷 (SAQ),並且每季進行 ASV 網路掃描 | 特約商店 核可掃描服務供應商 |
3. 600 萬筆交易/每年 以上 | 每年完成 PCI DSS 自我評估問卷 (SAQ),並且每季進行 ASV 網路掃描 | 特約商店 核可掃描服務供應商 |
4. 2 萬筆/ 每年 以下 | 每年完成 PCI DSS 自我評估問卷 (SAQ),並且每季進行 ASV 網路掃描(選項) | 特約商店 核可掃描服務供應商 |
標準
由於 PCI DSS 主要目的在於保護持卡人資料的安全,12 個領域的安全要求也可以進一步的視為以卡資料為中心的層次保護。
弱點
加密
系統
開發
資料
監視
網路、防火牆
存取控制
政策
PCI DSS 合規審查與顧問諮詢
PCI DSS 合規審查與諮詢作業流程如下圖,PCI DSS 的審查作業主要針對現有已經實施的安全管理作業,安全技術保護機制進行檢查。一般而言,一個完整的PCI DSS 專案從開始規劃、實施到通過審查認證大約的時間,中小型組織約在6-8 週內 (不含系統開發的時程),大型組織約在8-12 週。其中包含了規劃階段,顧問階段與認證階段。
一般而言,PCI DSS 之合規審查服務是一個長期、持續性的評估作業,接受認證之客戶在設計階段、技術項目實施階段、顧問諮詢階段以及後續正式評估階段,均會由專案中負責 PCI DSS QSA 作業的審查人員提出對於系統、技術、管理面的各面向查核結果,並搭配諮詢顧問隨時提出對於系統設計、架構、文件或管理作業的修正建議。
於通過 PCI DSS 合規審查作業後,由本公司 PCI DSS QSA 人員簽發 Report On Compliance (ROC) 合規報告書與核發 Attestation of Compliance (AOC) 證明書並經過客戶代表主管簽認後,就可以完成通過合規審查之作業。
安全領域要求及合規實施重點
聯繫我們
如有任何問題,歡迎隨時與我們聯繫!