pci認證
⑴ 國內有什麼機構可以做pci認證
銀行卡檢測中心了解一下
⑵ PCI認證目前分幾類
PCI 認證全稱是 PCI DSS認證,即支付卡行業數據安全標准,是由PCI安全標准委員會的創始成員五個全球支付品牌共同制定,力在使國際上採用一致的數據安全標准。
PCI DSS對於所有涉及信用卡信息機構在持卡人數據的存儲、傳輸和處理方面作出標準的要求。其中包括對安全管理、流程策略、網路體系架構、軟體配置、數據加密等等方面的要求,全面保障交易安全。PCI DSS適用於所有涉及到支付卡存儲、傳輸和處理的實體,主要包括商戶、第三方支付機構、發卡機構和服務提供商等。PCI DSS包括一組保護持卡人信息的基本要求,並可能增加額外的管控措施,以進一步提高數據的安全性,降低數據泄露的風險。
作者:北京三思網安科技有限公司
來源:知乎
⑶ PCI驗證:使用PCI DSS需滿足什麼要求
這些需求包括對服從性的周期性報告(ROC),漏洞掃描,滲透測試和Web應用測試。在這一點上,我們檢查了這些需求,列出了保持PCI DSS服從性的詳細提綱。 或許最重要的PCI請求就是最小的商家必須向自己的銀行提交年度服從性驗證報告。這些報告的范圍以及個人執行評估資格都依據企業所達到的PCI DSS商家級別而定。 最大的商家屬於一級商家,他們必須每年出具獨立的審計結果。這一審計結果可以是有資質的安全評估員(QSA)或是該公司內部管理人員指定的審計團隊。在其他情況下,QSA或內部審計員都會完成一個ROC然後提交給公司所使用的商業銀行。二級和三級商家或許會通過自己的IT部門和企業員工完成評估報告,然後把結果記錄到自評問卷中(SAQ)。 審計的范圍依據商家持卡人數據環境的特徵而定——本質上,越復雜的環境,審計的范圍就越廣。可能性如下: SAQ A是最簡單的形式,供那些外包了所有卡片處理職責的商家使用 SAQ B則要求印記唯一或獨立撥號且不能用電子方式保存任何持卡人數據的終端用戶 SAQ C可用於具備聯網支付系統但不能保存持卡人數據的商家。還有供使用虛擬終端的商家使用的單獨SQA C版本。 當然,盡可能深入SAQ鏈符合是每個商家利益的行為。如果你的企業還不具備滿足SAQ A的資質就不要妄想SAQ D。 漏洞掃描 所有使用對外IP地址的商家都必須按季度執行網路漏洞掃描,並將結果提交給自己的商業銀行。PCI DSS標准要求企業通過他們授權的掃描供應商(ASV)執行掃描,但是企業所使用的銀行可能需要使用某個特定的掃描服務供應商。許多商業銀行要求使用單獨的ASV合作夥伴,因為這些ASV可以讓銀行直接訪問加固的報告,減輕了銀行的管理負擔。 當然,簡單執行掃描還不夠——必須通過掃描才能確定其對PCI DSS的服從性。基於這一原因,在運行正式掃描前,公司可以先運行常規服從性掃描。 安全測試 如果公司的基礎設施需要處理持卡人數據,可使用另外兩種要求:滲透測試和Web應用評估。企業必須每年對持卡人數據環境執行內部和外部的滲透測試,包括網路和應用層測試。同樣,使用Web應用的企業必須每年執行常規Web 應用評估,在重大改變後也要執行Web應用評估。所有的測試都必須通過有資質的安全顧問或是員工執行,執行測試的員工不應該是執行系統維護的人。 隨著公司創建PCI DSS服從項目的發展,越來越有必要記住這些要求。可以規劃一個為期一年的評估和測試,這樣公司就不會在年末的時候錯過截止期限或是急急忙忙趕著滿足PCI驗證要求。最後,請確保你保留了公司評估的所有文件,這樣就可以將服從性的評估情況向審計員解釋。
⑷ 什麼是PCI安全認證
PCI DSS:全稱Payment Card Instry (PCI) Data Security Standard,第三方支付行業(支付卡行業PCI DSS)數據安全標准,是由PCI安全標准委員回會的創始成員(visa、答mastercard、American Express、Discover Financial Services、JCB等)制定,立在使國際上採用一致的數據安全措施,簡稱PCI DSS。
(4)pci認證擴展閱讀:
PCI DSS對於所有涉及信用卡信息機構的安全方面作出標準的要求,其中包括安全管理、策略、過程、網路體系結構、軟體設計的要求的列表等,全面保障交易安全。PCI DSS適用於所有涉及支付卡處理的實體,包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體。PCI DSS包括一組保護持卡人信息的基本要求,並可能增加額外的管控措施,以進一步降低風險。
⑸ 什麼機構可以做pci 認證
爭議pci對系統和產品都有認證,系統的是DSS,產品的PTS之列的。做pci檢測認證的必須是pci認可的實驗室。國內銀行卡檢測中心資質最全。DSS的需要做QSA和ASV他們都可以做,他們新來的領導班子很厲害,前段時間過來交流了。