Long-Term PCI Data Security Standards Support

如果你储存, process or transmit credit card data, 您的业务受支付卡行业数据安全标准(PCI DSS)的约束. PCI DSS是一组安全规则,旨在防止代价高昂的破坏和盗窃.

LBMC网络安全提供一整套数据安全服务,帮助您实现和维护PCI合规性.

客户证明

的图标
与LBMC在PCI合规性方面的合作帮助我们为保险客户提供了更安全的产品.
一家领先的软件公司的信息安全审计高级经理

网络安全意识播客:PCI合规的新工具

在本期播客中, LBMC的Bill Dean和John Dorling讨论了一些可用的工具来帮助那些试图实现PCI合规性的商家.

Streamlined PCI 合规 服务 Overview

作为PCI认证合格安全评估员(QSA), LBMC提供专家指导,帮助客户浏览PCI法规并保持遵从性. 我们提供切实可行的解决方案,并强调长期合作关系. 明升体育app下载低流动率确保您每年与相同的QSA合作.

PCI 审计 and Report on 合规 (ROC)

  • 概述: 只有一级商家和服务提供商被要求提交由qsa领导的ROC, 尽管无论公司规模大小,收购者都可能要求这样做.
  • 过程: 明升体育app下载团队将指导您从审核过程的范围和细分,到发布最终的ROC和合规证明(AOC)。. 我们还为多个框架提供了“一次审计,多次报告”的方法.

PCI差距分析

  • 目的: 评估当前PCI合规工作并确定需要改进的领域.
  • 过程: We provide guidance on scope reduction, 采访关键员工, perform testing procedures, 并提供一份可操作的补救步骤清单,为PCI审计或自我评估问卷做准备.

ASV Quarterly Scanning

  • 要求: PCI要求11.2.1要求由认可扫描供应商(ASV)进行季度漏洞扫描.
  • 服务: 明升体育app下载ASV服务包括使用行业领先的扫描引擎进行一年的无限制扫描, 用于自我评估问卷的安全门户, scan scheduling and administration, and electronic filing with acquiring banks.

自我评估问卷D版(SAQ-D)完成

  • 支持: 我们进行访谈和演练,以协助PCI DSS SAQ-D.
  • 结果: 确保正确识别持卡人的数据环境,并填写SAQ-D表格.

PCI Flash Assessment

  • 摘要目的: 提供快速评估以指导您的PCI遵从性策略.
  • 专注: Determine PCI scope and segmentation.

PCI Consulting (Virtual QSA)

  • 服务: 通过高级PCI QSA的教育,接受PCI合规方面的专家建议.
  • 好处: 及时获得影响PCI合规性的当前项目的答案和解决方案, only paying for the time you need.

PCI and Web Application Security 服务

渗透测试

  • 摘要目的: Ensure compliance with PCI DSS Requirement 11.3.
  • 方法: 明升体育app下载测试流程符合PCI DSS要求,包括CDE边界验证. 这有助于评估您对安全攻击的易感性.

Web Application Security Assessments

  • 摘要目的: 评估web应用程序的安全性,确保符合PCI DSS要求.6.
  • 方法: 我们进行“灰盒”评估(无法访问源代码),以识别可能被攻击者利用的漏洞.

卡片数据发现

  • 摘要目的: 识别所有存储的卡数据以满足PCI要求.
  • 方法: 我们扫描文件和数据存储,并选择将发现扩展到PII和ePHI.

PCI Training and Education

  • 摘要目的: 改善组织的安全状况,降低持卡人数据的风险.
  • 方法: 我们提供教育和培训,以提高员工对PCI安全和一般安全实践的认识, reducing susceptibility to people-based attacks.

网络安全 Sense Podcast: PCI Pen Testing

在这一集中,Bill Dean和斯图尔特 异常兴奋的讨论了PCI遵从性的渗透测试. 了解渗透测试和漏洞评估之间的区别, 以及满足PCI合规性要求所需的内容.

渗透测试和PCI合规性要求

采用PCI DSS的组织必须证明其年度合规性并进行定期安全测试, including penetration tests. 这些测试可以自行管理,也可以在PCI合规性审核期间由第三方执行. 渗透测试模拟网络攻击以暴露漏洞, offering insights into PCI DSS effectiveness.

What is a Penetration Test?

渗透测试是由您的组织或第三方安全合作伙伴执行的故意网络攻击,以识别潜在的漏洞. 这 test simulates various attacks, from malicious software to human hacking, to assess your system’s defenses. PCI requires annual penetration tests, which can be done internally, 但许多组织更喜欢使用第三方合作伙伴来进行公正的评估, 专家的观点.

好处 of Third-Party Testing

第三方测试人员提供了客观的观点,并带来了常见攻击技术的专业知识, 提供系统易感性的现实视角. 他们缺乏对您的网络的广泛了解,确保了一个真正的入侵者的观点. 这种方法避免了不可靠的DIY工具的陷阱,并确保了彻底的测试.

LBMC 网络安全 can review compliance efforts, conduct penetration tests to ensure compliance, and help develop an action plan for remediation.

Readiness Assessment: PCI 合规 Requirements

Importance of a Readiness Assessment

即使你已经完成了一份自我评估问卷,并相信自己是合规的, 让安全专家执行准备情况评估是明智的. 这验证了您已经正确地解释了PCI DSS规则,并且您的假设是有充分根据的. 商家经常误解PCI遵从性指南并错误地表示遵从性.

What is a Readiness Assessment?

准备情况评估可以帮助您在将来更自信地进行自我评估,并了解您的安全措施如何工作以及为什么工作. 它揭示了更稳健、更经济地管理安全性的机会.

Three Steps of a Readiness Assessment

1. Identify Cardholder Data 位置

  • 确定持卡人数据在您的环境中存储、处理或传输的位置.
  • 评估员将通过您的网络跟踪卡片数据流, 包括意想不到的地方,比如电子表格或电子邮件系统.

2. Define PCI 合规 Scope

  • 通过跟踪卡数据的去向,确定哪些系统受PCI DSS规则的约束.
  • 不接触卡数据的系统不在范围内, 通过专注于相关系统,帮助您节省时间和金钱.

3. Identify and Address Gaps

  • 通过访谈、检查和流程演练将范围与PCI DSS需求进行比较.
  • 常见的缺陷包括季度内部脆弱性评估, 缺失的补丁, 默认密码, and inadequate documentation.

Common Pitfalls and 解决方案

Quarterly Internal Vulnerability Assessments:

  • 定期扫描缺失的补丁和其他漏洞.
  • 检查并修复高风险结果,然后运行另一次扫描以确认问题已解决.

文档:

  • 确保每个PCI规则(或“控制”)的文档被认为是兼容的.
  • 回顾过去的扫描和文件,以准确地完成自我评估问卷.

LBMC网络安全可以审查您的合规工作, 确保遵从性, 并帮助您的团队制定补救措施的行动计划. 如需更多信息或帮助,请与我们联系.

PCI合规性审计:简化合规性报告

As a Qualified Security Assessor, 我们已经确定了一些步骤,使PCI合规性审计尽可能顺利地为商家运行.

3 Steps to a Successful PCI 合规 审计

1. Identify a Collaborative QSA.

  • 为了使这个过程尽可能高效,它需要是一个协作的过程. 尝试识别并与一个对你的商业环境有深刻理解的QSA合作. QSA还应该能够清楚地解释其现场工作协议.

2. Get the Documents in Order.

  • 合规性报告要求为每个控制提供文档——这实际上增加了相当多的文档. 寻找你的QSA,给你足够的时间来整理文件. Six weeks is an appropriate amount of lead time.

3. 提前谈话.

  • QSA应在现场访问前几周安排与关键人员的面谈,以尊重他们的时间并收集必要的数据. 定期沟通对于在QSA报告之前快速解决不合规问题至关重要. 确保关键的内部联系人管理潜在问题并处理文档请求.

Avoid QSAs who don’t communicate before or after the assessment; find a partner who educates you throughout the process, enhancing your security and confidence.

Tools for Maintaining PCI 合规

Glossary of Payment and Security Terms

理解术语对于填写自我评估或与QSA沟通至关重要. 的 PCI Security Council offers a glossary with easy-to-understand explanations of technical terms used in payment security. 这 resource is free on the PCI Security Council’s website.

Common Payment Systems

For small or first-time merchants, the Common Payment Systems resource PCI安全委员会网站上的信息是无价的. 它提供了真实的视觉效果来帮助识别支付系统, 相关的风险, and protective actions. 该工具涵盖了15种常见类型的支付卡实现及其风险概况. 这 有价值的工具 可以在PCI安全委员会的网站上找到.

Guide to Safe Payments

Guide to Safe Payments  解释核心概念、风险、术语和保护策略. 它还可以作为其他有用的PCI文档和工具的中心. 该指南在PCI安全委员会的网站上是免费的.

Questions to Ask Your Vendors

为了有效地管理服务提供商和供应商,PCI安全委员会提供 Questions to Ask Your Vendors . 此资源包括确保供应商保护客户信用卡数据的特定问题. 它是免费的,可以在PCI安全委员会的网站上获得.

管理团队

Link to 斯图尔特 PCI Data Security Standards

斯图尔特 异常兴奋的

股东, 网络安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
Link to 画了 PCI Data Security Standards

画了 Hendrickson

股东 & Practice Leader, 网络安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔

当我们处理您的PCI合规性时,专注于重要的事情. 今天明升体育app下载报价或讨论您的需求. 请致电(844)526 -2732或填写以下表格.