数据安全标准

如果你储存, 处理或传输信用卡数据, your business is subject to the Payment Card Industry Data Security Standards (PCI DSS), a set of security rules designed to curb costly breaches and thefts across the industry.

LBMC网络安全提供一整套与支付相关的数据安全服务,帮助您实现和证明PCI合规性. 作为PCI认证合格安全评估员(QSA), 明升体育app下载专家可以帮助您在错综复杂的规章制度中穿行, 提供实用的解决方案来帮助您实现和维护遵从性. 明升体育app下载团队也采取长期合作的方式, 因为我们知道拥有一个可靠和一致的QSA是多么重要. Our noticeably low turnover helps distinguish us from the rest by giving you the same QSA each year.

查看服务单张(PDF)

一种总线标准服务

PCI审计和合规性报告

而只有1级商家和服务提供商(例如.g., 大牌连锁商家)必须提交一份由QSA主导的合规报告, acquirers can require a Report on 合规 regardless of your company size. 我们将引导您完成整个流程, 从范围和分割, 通过审计过程, 向相关方出具完整的最终合规报告(ROC)和合规证明(AOC). We can also provide an “audit once, report many” approach if different frameworks apply.

PCI差距分析

我们回顾了迄今为止执行的PCI合规工作, 对缩小范围提供清晰和有见地的指导, 采访关键员工, 执行测试程序, 并为您提供一份可操作的补救步骤列表,为您准备PCI审计或自我评估问卷

ASV季度扫描

PCI要求11.2.1 requires quarterly vulnerability scans by an Approved Scanning Vendor (ASV). LBMC 网络安全’s ASV service includes unlimited scans for one year with an industry-leading scanning engine, 完成相关自我评估问卷的安全门户, 调度和管理您的扫描, 如果需要,还可以向收购银行提交电子文件. 客户可以随时按需使用ASV系统.

SAQ-D完成

LBMC网络安全可以进行访谈和演练,以协助完成PCI DSS自我评估问卷版本D (SAQ-D)。. 之后, 我们将与客户合作,确保正确识别持卡人的数据环境,并填写适当的SAQ-D表格.

PCI Flash评估

明升体育app下载PCI专家团队执行快速评估,为您提供路线图,该路线图将指导您完成个性化的PCI合规策略,重点是帮助您确定PCI范围和细分.

PCI咨询(虚拟QSA)

通过高级PCI合格安全评估员的教育, 您将收到关于PCI合规性所需的专家建议. 通过明升体育app下载PCI咨询服务, you’ll hear timely answers and solutions to your current projects that could affect PCI compliance, 而只支付你需要的时间.

PCI和Web应用程序安全渗透测试

渗透测试确保您符合PCI DSS需求11.3. 的方法, 范围, and reporting processes align with the PCI DSS requirements for penetration testing, 包括CDE边界验证要求. Through this testing, our team assesses your susceptibility to security attacks.

我们还会对您的web应用程序进行“灰盒”(即无法访问源代码)web应用程序安全评估,以确定是否有人可能会危及应用程序本身或其中数据的安全性. 这通过搜索可能被攻击者利用的漏洞来评估应用程序的安全性. 此测试确保符合PCI DSS要求6.6.

卡片数据发现

具有扫描文件和数据存储的能力, our team can help you meet PCI requirements to identify all stored card data, 并可选择将数据发现扩展到PII和/或ePHI.

PCI培训与教育

培训员工了解PCI安全性(以及一般的安全意识)对于帮助您的组织改善安全状况和降低持卡人数据的风险至关重要. Our team can help position your employees for success through education and training, 减少对基于人的攻击的易感性.

准备评估:PCI合规性要求

即使你已经完成了一份自我评估问卷, 即使你发自内心地相信你是顺从的, it’s wise to have security experts perform a readiness assessment at least once. 这个过程将帮助您验证您已经正确地解释了PCI DSS规则,并且您的假设是有充分根据的. 经常, merchants unknowingly and inadvertently misinterpret PCI compliance guidelines and mistakenly indicate compliance.

什么是准备评估?

准备情况评估可以帮助您在将来更自信地进行自我评估,并帮助您更多地了解安全措施的工作方式和原因. 经常, 准备情况评估揭示了在将来更可靠、更经济地管理安全性的机会.

战备评估的三个步骤

  1. Figure out where cardholder data is stored, processed, or transmitted in your environment. 在业务流程的哪个位置捕获数据,如何处理数据? 评估员将通过您的网络跟踪卡片数据流, 无论是传输到数据库还是第三方站点. 他们还会在意想不到的地方彻底搜索卡片数据:存储在文件共享系统的电子表格中, 或者在你的电子邮件系统上闲逛.
  2. 定义PCI遵从性的范围. 无论卡片数据走到哪里,PCI DSS都是这片土地的规则. But the opposite is also true: PCI doesn’t care about systems that 不 touch card data. 一旦你了解了这些数据, you can identify which systems are subject to DSS rules – and which ones you 不 need to worry about, 至少就遵从性而言. 这 information may guide your action plan, helping you save both time and money.
  3. 确定你的范围和需求之间的差距. 一旦您确切地知道系统的哪个部分受到PCI DSS的约束, 你可以将规则与现实进行比较. 在准备评估中, 这通常意味着一系列的面试, 检查, 以及流程演练, 验证所有必要的规则是否到位.

当我们在LBMC进行准备评估时, 我们看到了一些常见的陷阱,并小心地加以解决. 例如, PCI要求企业进行季度内部漏洞评估——这意味着扫描缺失的补丁, 默认密码, 以及其他容易被窃贼或恶意软件利用的漏洞.

When you find a weakness, you’re required to review and remediate results tagged as high-风险. 的n you’re supposed to run another scan that shows the problem has been addressed. 通常情况下,商家运行扫描,但不阅读它. 或者即使他们读了,他们也不会解决问题. Or if they clean up the problem, they 不 run the scan again – and they 不 document the success.

For every PCI rule (or “control”), you must have documentation to be considered in compliance. 这是一个简单而普遍的规则. So we sit down with merchants and look at their past scans, as well as their documentation. 的n we complete the self-assessment questionnaire with them to identify the true answers to every question. 这有助于他们准确而自信地回答“是”.

LBMC网络安全审查合规性工作,可以测试以确保合规性,并可以帮助您的团队制定行动计划来纠正合规性. 如果您有任何疑问,请与我们联系.

客户证明

的图标
Working with LBMC on our PCI 合规 has help us delivery a more secure product to our insurance-based customers.
Senior Manager of Information Security 审计 for a leading software company

PCI合规性审计:简化合规性报告

作为一名合格的保安评估员, we’ve identified a handful of steps that make a PCI compliance audit run as smoothly as possible for merchants.

成功的PCI合规性审计的3个步骤

  1. 确定协作性QSA. For the process to be as efficient as possible, it needs to be a collaborative process. Try to identify and partner with a QSA that demonstrates a solid understanding of your business environment. QSA还应该能够清楚地解释其现场工作协议.
  2. 把文件整理好. 合规性报告要求为每个控制提供文档——这实际上增加了相当多的文档. Look for your QSA to give you plenty of time to get the documents together. 六周的交货时间是合适的.
  3. 提前谈话. A QSA should schedule interviews with your key personnel a few weeks before they come on-site, so they can be conscious of your people’s time while gathering the data they need. 定期沟通是至关重要的, 所以当QSA发现不合规的地方, 你可以尽快解决这个问题. 只要一个问题在QSA写报告之前得到解决, 你应该因为遵守规定而得到表扬. 确保您有一个关键的内部联系人定期管理潜在的问题,并处理来自您的QSA的工件或文档请求. 你  want in a partner is a QSA who flies out an assessor who spends a week onsite, 之前和之后都没跟你说过话. 确保你找到一个能在整个过程中指导你的伙伴, 有助于增强你的安全感和信心.

渗透测试和PCI合规性要求

对于每个受PCI DSS约束的组织, 这意味着每年进行合规性演示和定期进行安全测试——有时是自我管理的,有时是由第三方组织在PCI合规性审计中进行的. 其中一项重要的测试被称为“渗透测试”,它为PCI DSS如何以及为什么起作用提供了一些有用的见解.

什么是渗透测试?

在某种程度上, 这和其他网络攻击一样, 但是这种“攻击”是由您自己或第三方安全合作伙伴进行的,目的是暴露潜在的漏洞. Make no mistake: it’s a full-fledged attempt to break into your system and try to get credit card data. 在它最有效的时候, a penetration test will simulate attacks ranging from malicious software to human hacking, 详细说明你的系统防御是否站得住脚.

PCI要求每年进行一次这些测试. 它不需要由第三方来完成, 但大多数组织发现他们希望使用合作伙伴. That partner can provide an objective view without being biased by prior knowledge of your system, and they can also bring specialized expertise in the most common attack techniques, 这样他们就能像坏人一样进行同样的活动, 让你从最相关的角度了解你的易感性. 他们不会对您的特定网络环境(包括其特定的优势和劣势)有广泛的了解,因此他们可以带来真正的入侵者的视角.

一个真正的入侵者的视角是必不可少的. 渗透测试不仅仅是测试你的系统, 但它也带着它出去兜风,并确保它能经受住道路的严峻考验——包括真正的入侵者和真正的恶意软件的危险弯道. 在过去, 一些“自己动手”模式的企业在网上下载了粗略且不可靠的“渗透测试工具”来满足这种PCI DSS要求.

LBMC网络安全审查合规性工作,可以测试以确保合规性,并可以帮助您的团队制定行动计划来纠正合规性.

网络安全意识播客:PCI渗透测试

In this episode Bill Dean and 斯图尔特 异常兴奋的 discuss penetration testing for PCI compliance. Learn about the differences between penetration testing and vulnerability assessments, 以及满足PCI合规性要求所需的内容.

维护PCI合规性的工具

付款和担保术语表

如果不理解术语,可能很难填写自我评估或与合格的安全评估员(QSA)沟通. PCI安全委员会创建了一个 易于理解的解释词汇表 支付安全中使用的技术术语. 对于那些有责任完成自我评估或与QSA沟通的人来说,PCI DSS要求和术语听起来不再像外语. 此资源免费来自PCI安全委员会的网站.

常用支付系统

另一个伟大的资源,为小商家, 第一次的商人, 或商家试图成熟他们的PCI DSS的理解是 通用支付系统资源 在PCI安全委员会的网站上. 这 resource is a set of real-life visuals to help identify what type of payment system small businesses use, 与他们的系统相关的风险种类, 以及他们可以采取的保护措施. Included is a variety of credit card payment implementations that are commonly seen across a variety of industries. 在这个工具集中,最重要的是要理解PCI环境和商业实现不是“一刀切”的.” 这 excellent resource covers not only the 15 common types of payment card implementations but also their 风险, 威胁, 和保护. 的re’s also an easy-to-understand, graphical representation of each system’s 风险 profile. 这 有价值的工具 也可以在PCI安全委员会的网站上免费下载.

安全付款指引

的 安全付款指引 他不仅很好地解释了核心概念, 风险, 术语, 以及保护策略, it also serves as a valuable resource for other useful PCI documents and tools. 你猜怎么着? 它也是免费的PCI安全委员会.

向供应商提出的问题

To properly assist you in engaging and managing service providers and vendors, the PCI Security Council has created another (you guessed it) free resource. 向供应商提出的问题 提供了一组特定的问题来询问供应商,以确保他们正在保护客户的信用卡数据. 您只应与理解并接受其责任的供应商和服务提供商合作,以保护PCI DSS中所述的持卡人数据.

网络安全意识播客:PCI合规的新工具

在本期播客中, LBMC的Bill Dean和John Dorling讨论了一些可用的工具来帮助那些试图实现PCI合规性的商家.

管理团队

链接到斯图尔特 PCI数据安全标准

斯图尔特 异常兴奋的

股东,网络安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到画了 PCI数据安全标准

画了 Hendrickson

股东 & 网络安全实践负责人

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔