什么是PCI内部安全评估员?我听说PCI SSC在开展PCI ISA培训项目,请问这是什么,它们是否可帮助企业提高合规性?
Mike Chapple:目前支付卡行业安全标准委员会(PCI SSC)开始进行内部安全评估者(ISA)项目,该项目用于认证商家、银行和支付处理机构的员工的PCI DSS专业知识。该项目的目的是携手PCI合格安全评估机构(QSA)程序来认证内部评估员。PCI ISA项目可为企业提供训练有素的内部人员团队,这些内部人员可轻松地与QSA合作,并给企业的内部合规过程带来一致性和可靠性。符合资格的企业可让其内部安全审计专业人员申请ISA项目,但这些企业本身必须认证为ISA赞助公司。
需要注意的是,与QSA项目不同,ISA项目不是强制性。它只是为企业提供了一个机会,让企业培养可很好地在支付合规领域工作的内部人员,以帮助企业提高其PCI DSS合规能力。当企业拥有PCI ISA时,他们可更好地减少外部QSA发布的灰色地带发现。PCI ISA项目成员还可能更熟悉其企业的IT环境、内部流程和其他合规程序及要求。尽管有这些好处,ISA成员可能缺乏局外人的视角,毕竟这在审计过程有时非常重要。
个人寻求获得ISA认证必须由雇佣他们作为全职员工的商家或服务提供商提名。他们还需要完成在线或面对面培训,以及通过PCI ISA认证考试。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
云是网络攻击的潜在金矿,端到端安全成迫切需求
为保企业借助云计算进行数字化转型成果不被网络攻击者破坏,企业在部署云服务之初就需要将云安全问题考虑在内,并通过部署整合的安全方案为企业的数据资产护航。
-
SIEM功能如何用于实时分析?
很多企业主要依靠安全信息和事件管理技术(SIEM)来生成周期性、集中的安全报告,这些报告用于合规性目的以及对攻击事件事后检测及调查。不过,大多数SIEM平台其实还能够执行实时分析……
-
进行云迁移, 看起来挑战重重……
对于缓解云迁移挑战的简单建议是:提前规划。企业应制定政策要求安全团队参与所有云计算项目,确定尽职调查程序,并确保不要选择任何控制缺失或存在数据兼容性问题的云服务。
-
CISO的真正挑战:密码管理、IoT安全&合规性
在企业责任方面CISO似乎越来越接近其他的高管。不过有些CISO尚不知道如何与其他高管合作,另外一些CISO则仍然在试图弥合技术和业务之间的沟通鸿沟……那么,CISO面临的共同挑战是什么?