服務供應商 (Service Providers) 每季需依據 PCI DSS v4.0 條 文 12.4.2 ( PCI DSS v3.2.1 – 12.11 ) 確認公司的安全政策、程序等，是被實質上執行且進行定期各項控制措施檢查。

 

PCI DSS v4.0 – 12.4.2條文中，列舉了五項檢查項目，包含但不限於：

a) 每日日誌審核

每三個月執行日誌審查，確保審查作業如期完成。

在 PCI DSS v4.0 的要求中，以 “自動化方式” 執行審查為主，故在環境中建議配置如 SIEM、Log Analyzer 等機制，確保標的日誌自動化執行定期審查。

b) 網路安全控制的配置審核

針對網路安全控制設備 (如防火牆)，每半年需進行 Rule-set 審查。

確認相關人員是否執行定期作業；Rule-set 的申請作業是否遵循公司規定，執行核准及相關測試等等。

c) 在新加入的系統、設備應用配置標準

環境中若有新增系統、設備，需套用已建立完善的配置標準並於每季執行網路設備、主機環境 (作業系統)、資料庫…等等檢查。

d) 回應安全警報

各類安全事件告警，是否依照公司規定的事件/事故回應流程 (如 Incident Response Plan, IRP) 進行處理及回應。

e) 變更管理程序

各類系統設備、應用系統，若有變更、部署的需求，應遵循公司規定的部署/發布流程進行。

 

在 PCI DSS v4.0 12.4.2.1 條文中，也要求：

1. 上述審查，需留下審查紀錄。
2. 若有未審查、未符合事項，需提供強化或補償措施。
3. 需對公司 PCI DSS 合規的專責人員 (如合規主責窗口、高階主管指派的專責人員、PM 等) 進行審查並簽署。

 

簡言之，PCI DSS v4.0 12.4.2 條文主要要求「遵循性」，專責人員需將已訂立的各項措施、流程、政策等，確實地執行並定期檢查，使公司的合規作業更趨完整及穩定。