受支付卡行業(yè)數據安全標準(PCI DSS)支配的企業(yè)必須滿足PCI驗證請求，驗證其條款是否與銀行的相符。這些需求包括對服從性的周期性報告(ROC)，漏洞掃描，滲透測試和Web應用測試。在這一點上，我們檢查了這些需求，列出了保持PCI DSS服從性的詳細提綱。

或許最重要的PCI請求就是最小的商家必須向自己的銀行提交年度服從性驗證報告。這些報告的范圍以及個人執(zhí)行評估資格都依據企業(yè)所達到的PCI DSS商家級別而定。

***的商家屬于一級商家，他們必須每年出具獨立的審計結果。這一審計結果可以是有資質的安全評估員(QSA)或是該公司內部管理人員指定的審計團隊。在其他情況下，QSA或內部審計員都會完成一個ROC然后提交給公司所使用的商業(yè)銀行。二級和三級商家或許會通過自己的IT部門和企業(yè)員工完成評估報告，然后把結果記錄到自評問卷中(SAQ)。

審計的范圍依據商家持卡人數據環(huán)境的特征而定——本質上，越復雜的環(huán)境，審計的范圍就越廣?？赡苄匀缦拢?/p>

◆SAQ A是最簡單的形式，供那些外包了所有卡片處理職責的商家使用

◆SAQ B則要求印記唯一或獨立撥號且不能用電子方式保存任何持卡人數據的終端用戶

◆SAQ C可用于具備聯(lián)網支付系統(tǒng)但不能保存持卡人數據的商家。還有供使用虛擬終端的商家使用的單獨SQA C版本。

◆SAQ D是最復雜的形式，所有無法滿足最短SAQ的商家都需要使用SAQ D。包括哪些可以使用可保存持卡人信息的系統(tǒng)的商家。

當然，盡可能深入SAQ鏈符合是每個商家利益的行為。如果你的企業(yè)還不具備滿足SAQ A的資質就不要妄想SAQ D。

漏洞掃描

所有使用對外IP地址的商家都必須按季度執(zhí)行網絡漏洞掃描，并將結果提交給自己的商業(yè)銀行。PCI DSS標準要求企業(yè)通過他們授權的掃描供應商(ASV)執(zhí)行掃描，但是企業(yè)所使用的銀行可能需要使用某個特定的掃描服務供應商。許多商業(yè)銀行要求使用單獨的ASV合作伙伴，因為這些ASV可以讓銀行直接訪問加固的報告，減輕了銀行的管理負擔。

當然，簡單執(zhí)行掃描還不夠——必須通過掃描才能確定其對PCI DSS的服從性。基于這一原因，在運行正式掃描前，公司可以先運行常規(guī)服從性掃描。

安全測試

如果公司的基礎設施需要處理持卡人數據，可使用另外兩種要求：滲透測試和Web應用評估。企業(yè)必須每年對持卡人數據環(huán)境執(zhí)行內部和外部的滲透測試，包括網絡和應用層測試。同樣，使用Web應用的企業(yè)必須每年執(zhí)行常規(guī)Web 應用評估，在重大改變后也要執(zhí)行Web應用評估。所有的測試都必須通過有資質的安全顧問或是員工執(zhí)行，執(zhí)行測試的員工不應該是執(zhí)行系統(tǒng)維護的人。

隨著公司創(chuàng)建PCI DSS服從項目的發(fā)展，越來越有必要記住這些要求。可以規(guī)劃一個為期一年的評估和測試，這樣公司就不會在年末的時候錯過截止期限或是急急忙忙趕著滿足PCI驗證要求。***，請確保你保留了公司評估的所有文件，這樣就可以將服從性的評估情況向審計員解釋。