PCI内部安全评估员能否验证1级商家?

日期: 2017-08-09 作者:Matthew Pascucci翻译:邹铮 来源:TechTarget中国 英文

我知道PCI内部安全评估员(ISA)可签署商家合规报告(ROC),但ISA可以验证1级商家同时也是服务提供商的合规性吗?如果不可以,应该如何处理这种情况?

Matthew Pascucci:内部安全评估员和合格安全评估员(QSA)之间存在差异,他们能够验证的评估也有所不同。在这些评估中,还有特定级别的提供商和商家需要不同标准的验证。

内部安全评估员通常是被评估企业的内部员工,这种近距离接触业务可更好地了解系统所有者的流程,但当涉及1级服务提供商时,则需要有第三方视角。

服务提供商被定义为代表另一家企业或组织处理、存储或传输持卡人数据的实体。与商家一样,现在有多个级别的服务提供商,1级商家需要合格安全评估员来完成合规报告。

1级服务提供商每年执行超过30万次信用卡交易,相比之下,2级服务提供商允许进行年度自我评估调查,内部安全评估员就已经足够。

Mastercard公司表示,成功完成现场评估和季度网络扫描需要30万笔交易。现场评估合规报告必须由MasterCard公司的合格安全评估员完成和提交,当在寻找合格安全评估员时,应该瞄准拥有1级服务提供商成功案例经验的评估员。

通过合格安全评估员,企业可通过具有企业外视角和经验的评估员获得现场评估。这并不是与内部安全评估员对立,但可提供对PCI标准的额外观点,让合格安全评估员为评估提供更多经验。

这也是让第三方参与以验证企业是否符合标准,而没有依靠内部资源。但这并不意味着合格安全评估员比内部安全评估员更熟练,只是他们可带来内部安全评估员可能没有的PCI标准相关的体验。

当然,合格安全评估员也有缺点。他们可能更倾向于通过审计,而不用担心企业是否真正安全。这是笔者的猜测,但笔者认为这应该是能够为1级服务提供商完成合规报告的合格安全评估员的心态。

由于1级提供商被用于大量客户交易,有时候涉及特定技术,所以PCI理事会会决定让合格安全评估员为1级服务提供商进行评估。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐