Forståelse af revision af PCI-overensstemmelse

Virksomheder i alle størrelser skal gennemgå Datasikkerhedsstandarden for industrien for betalingskorts (PCI DSS) konformitetsaudits for at garantere, at deres kunders data er beskyttet ved kredit eller debit kort transaktioner og under opbevaringen.

I henhold til standarden er level 1 virksomheder – dem som bearbejder mere end seks millioner kreditkorttransaktioner om året – genstand for et årligt on-site audit og i hvert kvartal netværkscanninger udført af en anerkendt udbyder. Andre levels kan udfylde en årlig selvvurderingsspørgeskema og få en anerkendt udbyder til at udføre netværkscanninger i hvert kvartal.

PCI DSS vurderingen er en detaljeret evaluering af en organisations kortholderinformationsmiljø (CDE) ved brug af en standard metodologi og rapportering. Ved at gennemføre audit får du:

  • En komplet evaluering af dit CDE og de risici, du er nødt til at håndtere;
  • En tiltræffende vurdering af, hvor du står i forhold til kravene;
  • Beviser, at dine kontrolinstanser er på plads og virker effektivt; og
  • Uafhængige anbefalinger, som hjælper dig med at afhjælpe identificerede mangler.

Typiske grunde for fiasko

Når auditorer gennemgår, hvad sælgere gør for at beskytte deres kunders betalingskortdata, støder de typisk på følgende problemer:

  • Unødvendig opbevaring af betalingskortdata og en mangel på netværkssegmentering for at isolere informationerne fra mindre sikre dele af netværket.
  • Ikke at implementere adgangskontroller, som begrænser hvilke medarbejdere har adgang til værdifuld data.
  • Dårlige eller ingen logbøger over netværksaktiviteter, som gør det næsten umuligt at spotte nogen, som prøver at få adgang til betalingskortdata.
  • Inkonsistent eller mangelfuld kryptering i hele computersystemet af en virksomhed, især når den rejser igennem et system ind i et andet.
  • Ingen eller sjældne scanninger efter software sårbarheder kombineret med dårligt indstillede firewalls og routere.
  • Ikke at etablere og kommunikere en sikkerhedshændelse reaktionsprocedure, som er blevet testet og aktualiseret på grundlag af resultaterne fra din årlige risikovurdering.

Hvad en PCI DSS auditor vil have

I en perfekt verden ønsker auditorer, at medarbejderen ansvarlig for audits eller konformitet har:

  • En komplet checkliste for PCI audits;
  • En forståelse for PCI DSS 3.2;
  • En printet kopi af sidste års rapport om konformitet (RoC);
  • En forståelse for PCI DSS’ gyldighedsområde;
  • Bevis for kvartalsvise scanninger og indbrudstest for at vurdere nyere sårbarheder;
  • Bevis for regelmæssige kontroller af hændelseslogbøger; og
  • Dokumentation af, hvordan trejdeparters sikkerhedsrisici formindskes.

Snak med din auditor i løbet af året

I løbet af året vokser virksomheder, CDE’er forandrer sig og PCI DSS krav tilpasses. Rigtig dokumentation og opdateret personale hjælper en auditor med komme up-to-date med omgivelserne så hurtigt som muligt. Jo hurtigere en auditor er up-to-date, jo hurtigere kommer du igennem dit audit.

Hvis du vil lære mere om at opnå og opretholde PCI DSS-overholdelse, skal du downloade vores gratis grønbog PCI DSS:Audit succes i ni væsentlige trin. Denne grønbog hjælper organisationer med effektivt at forberede sig på en PCI audit og skre et succesrigt audit resultat.

Opdag:

  • Ni væsentlige råd til forberedelse til et succesrigt ROC audit
  • En checkliste for, hvad en auditor vil kigge efter på dagen
  • Uvurderlige råd til at undgå unødvendige forsinkelser og frustrationer
  • Hvordan at identificere ikke-konformiteter før auditeringen finder sted.
  • Hvordan at vælge det rigtige QSA

Download din kopi i dag  >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.