我们将向客户提供预先设计的遵规性验证服务，负责管理全部遵规过程并帮助达到遵规目标。我们的合规安全评估师QSA和安全专家将在整个合规验证服务过程中对客户提供支持，以保证其符合合规性。服务将包括五个主要方面的内容：

○咨询类服务：我们的安全顾问将将采取与客户的相关人员面谈，会议交流等形式，详细阐述PCI DSS标准的12个方面的500多条的要求，同时顾问会对客户作一次全面系统的了解，以帮助客户发现目前存在的问题，并给出指导建议和书面报告，协助客户整改的工作。这些服务内容将包含：网络分割指导、差距分析、整改修复建议、流程与策略的文档服务、风险评估以及安全应急响应的预案等内容；

○技术类服务：PCI DSS要求进行验证的组织每年必须进行相关的技术性检测，以查找该组织存在的相关漏洞和问题，防止外部或内部的非法入侵，进一步保证支付卡数据的安全。这些服务内容将包含：ASV外部弱点扫描（至少每年4次）、外部渗透测试、内部渗透测试等专业的技术服务实施；

○培训类服务：因PCI标准要求进行验证的组织需要每年进行信息安全相关的培训，以确保组织内的所有人都能够正确防范可能会出现的安全隐患，以及对问题出现时确保拥有及时可靠的补救方法，这些培训将包括：安全意识培训、应急响应培训等；

○审查类服务：我们将严格按照PCI 的要求对客户进行全面的审查，审查的内容可能涉及系统、网络环境、应用程序、管理流程、人员意识等，以确保客户能够符合PCI DSS的要求并按照建立好的规范流程持续的执行。服务内容包括：远程验证、现场验证、QA等。

○系统维护类服务：保护支付卡数据的安全，首先要保证存储、传输或处理支付卡数据所在的环境的安全性，我们将从专业的角度帮助客户搭建一套完整、安全并符合要求的系统运营环境，这些服务内容将包括：WAF、UTM、NAC、日志监控、时钟同步管理、Web监控、数据丢失保护、网页内容管理服务等；

制定相应的实施计划表如下：

1、 项目启动会成立项目组，确立双方项目组人员及职责，制定项目计划；

2、 培训PCI基础（全体项目组成员）；

3、 系统信息收集；

4、 启动差距分析；

5、 实施文档收集以及建设工作；

6、 整改咨询及技术支持；

7、 实施漏洞（弱点）ASV扫描和渗透测试；

8、 实施系统部署修正和补偿控制；

9、 QSA现场审计；

10、提交ROC，AOC认证报告；