Requisito 12.1.2 di PCI DSS: è sufficiente indicare un processo standard?

Naviga le tue risposte
2

L'articolo 12.1.2 di PCI DSS richiede la politica di sicurezza dell'azienda:

12.1.2 Includes an annual process that identifies threats, and vulnerabilities, and results in a formal risk assessment.

Il NIST ha pubblicato una Guida per la conduzione Valutazioni del rischio , che sono abbastanza dettagliate e potrebbero essere utilizzate come nostro processo. Per soddisfare questo requisito, basta indicare semplicemente la Guida NIST o l'azienda dovrebbe sviluppare un proprio processo personalizzato (anche se basato sulla Guida)?

    
posta Otavio Macedo 31.01.2013 - 20:06
fonte

1 risposta

2

A colpo d'occhio, la guida NIST a cui ti sei collegato descrive gli obiettivi e gli sfondi che sarebbero stati condotti in una valutazione, ma non c'è nulla a cui puoi puntare e dire: "Abbiamo seguito questi passaggi". Non fornisce un processo quantificabile e verificabile che un revisore può confermare.

Dovrai trovare un'altra risorsa o svilupparne una tua.

    
risposta data 31.01.2013 - 20:12
fonte

Leggi altre domande sui tag

SSr enrcyption con password ATA - Modalità AHCI? Gli utenti dovrebbero condividere i log degli arresti anomali di OSX?