提升 PCI 游戏的三个步骤
Posted: Mon Mar 17, 2025 9:54 am
丑陋的事实是,PCI 的激励措施有些不公平。即使我不得不与 QSA 进行独立评估,我也是雇佣该公司来做这件事的人。鉴于财务激励措施如此之多,难怪你会听到有人四处兜售合规性的故事。
事实上,我曾经在一次小型聚会上听到一位 CIO 坦白 股东数据 说,他真的不知道他们是如何满足 PCI 要求的,因为他非常清楚他们实际上并没有满足许多技术控制。他的看法是,公司只是找到了一家愿意对他们宽容的公司来帮助验证他们的 PCI 合规性结果。
即使您忽略由此引发的道德问题,这种方法也可能很危险,因为它会给您一种虚假的安全感。您收到了 PCI AOC,突然间,您认为自己已经履行了义务。但如果您没有有意义的控制和实践来支持它,那么它就一文不值。
希望您从未在您的环境中看到过任何造假行为。不过,人们很容易陷入口头上说说安全性的陷阱。那么,您如何超越复选框 PCI 合规性呢?
科维提供了一个很好的建议——检查一下你可能已经拖延太久的重要事情。你可以从以下三个步骤开始:
1. 建立 PCI 合规团队。即使一开始只有一人,也必须有人负责构建您的安全程序。此人应获得公司领导的授权。毕竟,任何人都可以实施您能想到的所有程序、政策和软件——但如果没有高层的支持,那就毫无意义。
事实上,我曾经在一次小型聚会上听到一位 CIO 坦白 股东数据 说,他真的不知道他们是如何满足 PCI 要求的,因为他非常清楚他们实际上并没有满足许多技术控制。他的看法是,公司只是找到了一家愿意对他们宽容的公司来帮助验证他们的 PCI 合规性结果。
即使您忽略由此引发的道德问题,这种方法也可能很危险,因为它会给您一种虚假的安全感。您收到了 PCI AOC,突然间,您认为自己已经履行了义务。但如果您没有有意义的控制和实践来支持它,那么它就一文不值。
希望您从未在您的环境中看到过任何造假行为。不过,人们很容易陷入口头上说说安全性的陷阱。那么,您如何超越复选框 PCI 合规性呢?
科维提供了一个很好的建议——检查一下你可能已经拖延太久的重要事情。你可以从以下三个步骤开始:
1. 建立 PCI 合规团队。即使一开始只有一人,也必须有人负责构建您的安全程序。此人应获得公司领导的授权。毕竟,任何人都可以实施您能想到的所有程序、政策和软件——但如果没有高层的支持,那就毫无意义。