Prova 7.3 dallo standard PCI DSS

Naviga le tue risposte
3

7.3 Examine documentation interview personnel to verify that security policies and operational procedures for restricting access to cardholder data are: · Documented, · In use, and · Known to all affected parties.

Come fornitore di servizi che fornisce il monitoraggio per i clienti sulle loro reti e sedi di datacenter, mi chiedo come posso provare questa domanda piuttosto verbale per la mia convalida di valutazione PCI DSS .

La società ha messo a punto informazioni sulla sicurezza e test per verificare che tutti i dipendenti abbiano ricevuto informazioni su come gestire dati sensibili quali informazioni sulle carte di credito e perdite, ecc.

Ma come faccio a dimostrare la citazione sopra? Come posso dimostrare che monitorando la loro rete e i loro sistemi, non registriamo alcun tipo di informazione della carta di credito e dei dati dei titolari di carta?

    
posta OMG-1 07.09.2016 - 15:22
fonte

1 risposta

1

Il pubblico per questo orientamento è QSA - Qualified Security Assessors - il cui compito è quello di apparire in loco, esaminare la documentazione, intervistare il personale ed eseguire altre attività correlate alla revisione per assicurarsi di essere a suo agio con una segnalazione che indica che la società è conforme PCI .

In termini di prove specifiche- il revisore deciderà quali prove prendere in considerazione - qualunque sia la documentazione che possiedi, la configurazione, i file di registro - nel determinare se soddisfi gli standard. Dovrebbero fornire una certa direzione per quanto riguarda le prove specifiche che devono vedere.

Livello superiore, come fornitore di servizi i cui clienti devono essere conformi PCI e il cui impegno con tali clienti espone i sistemi che controlli ai tuoi ambienti di dati delle carte dei clienti, devi avere la tua documentazione di conformità PCI - il tuo rapporto sulla conformità fornito da un revisore dei conti o, nel caso in cui i livelli di transazione del cliente siano sufficientemente bassi, un questionario di autovalutazione del fornitore di servizi. Tale documentazione viene fornita ai clienti come prova quando passano attraverso i propri audit PCI. I clienti non dovrebbero venire da te per avere risposte a domande specifiche sulla loro conformità.

    
risposta data 07.09.2016 - 17:23
fonte

Leggi altre domande sui tag

Come verificare se NTLM v2 o v1 è utilizzato per l'autenticazione? È possibile connettersi al server VNC solo con un hash NTLM?