PCI DSS 合规性
PCI DSS的制定旨在加强持卡人数据的安全性,并促进全球广泛采用一致的数据安全措施。该标准适用于所有存储、处理或传输持卡人数据的实体。该标准包括六个方面的 12 项要求,旨在确保各组织有适当的控制措施和程序来保护持卡人数据的安全。
具体到第三方风险管理,要求 12:通过组织政策和计划支持信息安全,第 12.8 节:管理与第三方服务提供商(TPSP)关系相关的信息资产风险,指出第三方服务提供商(TPSP)有责任确保按照适用的 PCI DSS 要求保护数据,并确保其符合要求。
第三方必须证明自己符合 PCI DSS 的要求,这就需要进行内部控制评估和持续监控--确定内部数据安全控制的有效性,并在第三方数据泄露对企业造成破坏性影响之前对发现的问题进行补救。
所有可访问持卡人数据的服务提供商(包括共享托管服务提供商)都必须遵守 PCI DSS;共享托管服务提供商必须保护每个实体的托管环境和数据。本页特别关注这些托管提供商要求。
相关要求
-
对第三方服务提供商的数据安全控制和实践进行尽职调查
-
签订适当的第三方服务提供商协议以实施控制
- 确定适用的第三方数据安全控制和要求
- 至少每年一次监测第三方服务提供商的合规情况
符合 PCI DSS 指南
下面的汇总表将Prevalent 第三方风险管理平台中的行业最佳实践功能与 PCI DSS v4.0 中对第三方服务提供商的要求进行了对比。
注意:本表不应被视为最终指导。如需完整的要求清单,请详细查阅完整的PCI 数据安全标准 v4.0,并咨询您的审计员。
PCI DSS v4.0 第三方服务提供商要求和测试程序
普遍存在的帮助
要求 6:开发并维护安全的系统和软件
6.3 发现并解决安全漏洞。
6.3.2维护定制软件和自定义软件以及纳入定制软件和自定义软件的第三方软件组件的清 单,以便于进行漏洞和补丁管理。
6.3.2.a检查文档并与人员面谈,以核实定制软件和自定义软件以及纳入定制软件和自定义软件的第三方软件组件的清单是否得到维护,清单是否用于识别和处理漏洞。
6.3.2.b检查软件文档,包括集成第三方软件组件的定制软件文档,并将其与清单进行比较,以核实清单是否包括定制软件和第三方软件组件。
借助 Prevalent 平台,您可以要求供应商为其软件产品提供最新的软件物料清单 (SBOM),并将其作为证据或与供应商相关的重要文档附上。这将帮助您集中管理重要工件,并识别可能影响组织安全性和合规性的任何潜在漏洞或许可问题。
要求 12:通过组织政策和计划支持信息安全
12.8 与第三方服务提供商(TPSP)关系相关的信息资产风险得到管理
12.8.1保存与之共享账户数据或可能影响账户数据安全的所有第三方服务提供商(TPSP)的清 单,包括所提供的每项服务的说明。
12.8.1.a检查政策和程序,以核实已制定流程,以维护与之共享账户数据或可能影响账户数据安全的所有 TPSP 的 TPSP 列表,包括对所提供的每项服务的说明。
12.8.1.b审查文件,核实是否保存了所有 TPSP 的清单,其中包括对所提供服务的定制方法目标描述。
使用 Prevalent 平台,您可以通过电子表格模板或与现有采购或供应商管理解决方案的 API 连接,将第三方服务供应商导入中央管理系统,从而消除容易出错的人工流程。
该平台为负责管理第三方的所有利益相关者提供了一个简单的接收表单,以便所有利益相关者都能对集中的第三方档案进行输入。每个人都可通过电子邮件邀请获得该表格,无需任何培训或解决方案专业知识。
利用 Prevalent 平台,建立全面的第三方服务提供商档案,其中包括供应商公司详细情况、地理位置、使用中的第四方技术以及最近的运营和财务情况。有了这些积累的数据,您就能报告技术集中风险并采取相应措施。
12.8.2与 TPSP 签订的书面协议如下:
- 与所有共享账户数据或可能影响 CDE 安全的 TPSP 签订书面协议。
- 书面协议包括 TPSPs 的确认,即他们对 TPSPs 代表实体拥有或以其他方式存储、处理或传输的账户数据的安全负责,或在可能影响实体 CDE 安全的范围内负责。
12.8.2.a检查政策和程序,以核实已根据本要求规定的所有要素,确定了与所有 TPSP 保持书面协议的流程。
12.8.2.b检查与 TPSP 签订的书面协议,以核实协议是否按照本要求规定的所有要素进行维护。
利用 Prevalent,您可以集中分发、讨论、保留和审查供应商合同,从而实现合同生命周期的自动化,并确保关键条款得到执行。
主要功能包括
- 集中跟踪所有合同和合同属性,如类型、关键日期、价值、提醒和状态,并提供基于角色的自定义视图
- 工作流程功能(基于用户或合同类型),实现合同管理生命周期自动化
- 自动提醒和逾期通知,以简化合同审查
- 集中合同讨论和意见跟踪
- 合同和文件存储,具有基于角色的权限,并对所有访问进行审计跟踪
- 支持离线合同和文件编辑的版本控制跟踪
- 基于角色的权限可实现职责分配、合同访问和读/写/修改访问
有了这种能力,您就可以确保在供应商合同中明确规定责任和审计权条款,并相应跟踪和管理 SLA。
12.8.3采用既定流程聘用 TPSP,包括在聘用前进行适当的尽职调查。
12.8.3.a审查政策和程序,以核实已制定聘用 TPSP 的流程,包括在聘用前进行适当的尽职调查。
12.8.3.b检查证据并与负责人员面谈,以核实聘用 TPSP 的过程包括在聘用前进行适当的尽职调查。
首先使用 Prevalent 对所有第三方的固有风险进行量化。用于计算固有风险以确定第三方优先级的标准包括:
- 验证控件所需的内容类型
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考虑因素
- 对第四方的依赖程度
- 接触过业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和健康
- 声誉
通过这种固有的风险评估,您的团队可以自动对供应商进行分级;设定适当的进一步审查级别;并确定持续评估的范围。
基于规则的分层逻辑可利用一系列数据交互、财务、监管和声誉考虑因素对供应商进行分类
12.8.4实施一项计划,至少每 12 个月监控一次 TPSP 的 PCI DSS 合规状况。
12.8.4.a检查政策和程序,以核实是否定义了流程,至少每 12 个月一次监控 TPSP 的 PCI DSS 合规状态。
12.8.4.b检查文档并与负责人员面谈,以核实至少每 12 个月对每个 TPSP 的 PCI DSS 合规状态进行一次监控。
Prevalent TPRM 平台包含一个大型的第三方风险评估预建模板库,其中包括专门针对 PCI 的模板。评估可在供应商入职、合同续签时进行,也可根据关系中的重大变化以任何规定的频率(如每季度或每年)进行。
评估由工作流、任务管理和自动证据审查功能集中管理和支持,以确保您的团队在整个关系生命周期内对第三方风险的可见性。
重要的是,Prevalent 包括基于风险评估结果的内置补救建议,以确保您的第三方及时、满意地处理风险,并向审计人员提供适当的证据。
作为这一过程的一部分,Prevalent 平台持续跟踪和分析第三方面临的外部威胁。平台监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和金融信息的公共和私人来源。
所有监控数据都与评估结果相关联,并集中在每个供应商的统一风险登记册中,从而简化了风险审查、报告、补救和应对措施。
