我们将向客户提供预先设计的遵规性验证服务,负责管理全部遵规过程并帮助达到遵规目标。我们的合规安全评估师QSA和安全专家将在整个合规验证服务过程中对客户提供支持,以保证其符合合规性。服务将包括五个主要方面的内容:
○咨询类服务:我们的安全顾问将将采取与客户的相关人员面谈,会议交流等形式,详细阐述PCI DSS标准的12个方面的500多条的要求,同时顾问会对客户作一次全面系统的了解,以帮助客户发现目前存在的问题,并给出指导建议和书面报告,协助客户整改的工作。这些服务内容将包含:网络分割指导、差距分析、整改修复建议、流程与策略的文档服务、风险评估以及安全应急响应的预案等内容;
○技术类服务:PCI DSS要求进行验证的组织每年必须进行相关的技术性检测,以查找该组织存在的相关漏洞和问题,防止外部或内部的非法入侵,进一步保证支付卡数据的安全。这些服务内容将包含:ASV外部弱点扫描(至少每年4次)、外部渗透测试、内部渗透测试等专业的技术服务实施;
○培训类服务:因PCI标准要求进行验证的组织需要每年进行信息安全相关的培训,以确保组织内的所有人都能够正确防范可能会出现的安全隐患,以及对问题出现时确保拥有及时可靠的补救方法,这些培训将包括:安全意识培训、应急响应培训等;
○审查类服务:我们将严格按照PCI 的要求对客户进行全面的审查,审查的内容可能涉及系统、网络环境、应用程序、管理流程、人员意识等,以确保客户能够符合PCI DSS的要求并按照建立好的规范流程持续的执行。服务内容包括:远程验证、现场验证、QA等。
○系统维护类服务:保护支付卡数据的安全,首先要保证存储、传输或处理支付卡数据所在的环境的安全性,我们将从专业的角度帮助客户搭建一套完整、安全并符合要求的系统运营环境,这些服务内容将包括:WAF、UTM、NAC、日志监控、时钟同步管理、Web监控、数据丢失保护、网页内容管理服务等;
制定相应的实施计划表如下:
1、 项目启动会成立项目组,确立双方项目组人员及职责,制定项目计划;
2、 培训PCI基础(全体项目组成员);
3、 系统信息收集;
4、 启动差距分析;
5、 实施文档收集以及建设工作;
6、 整改咨询及技术支持;
7、 实施漏洞(弱点)ASV扫描和渗透测试;
8、 实施系统部署修正和补偿控制;
9、 QSA现场审计;
10、提交ROC,AOC认证报告;