|
|
 |
自我评估问卷 (SAQ)
这份自我评估问卷是免费和保密的,请以“是”或“否”回答问题,以评估您的系统是否已达到客户信息安全标准
请依照以下简单步骤,完成这份网上自我评估问卷:
大多数商业机构在完成网上问卷表前,希望能下载及打印自我评估问卷。请前往 “下载与资源中心”打印自我评估问卷 下载可供打印的问卷后,请询问公司内有关专业人员的意见,例如负责遵守政策、公司安全及信息安全的职员,以收集准确的答案。 完成自我评估问卷
网上自我评估问卷的结果会在PCI评估报告内列出,报告会评价您所处的风险水平。
每月处理少于1万个Visa账户、并取得新加坡TrustSG Seal资格的所有电子商务商户,都已自动达到PCI标准。这些商户毋需填写自我评估问卷。请浏览www.trustsg.org.sg查询更多有关TrustSG Seal的资料。
| |
漏洞扫描
由外部进行的漏洞扫描能评估系统的安全级别,并助您防范外来威胁。扫描工具能有效测试您的网络设备、主机系统和应用程序的漏洞,寻找弱点以作出改善。
外部 /远程漏洞扫描
假如您的网络可连接到互联网,即有受外来“黑客”入侵的可能。因此您应安排所有基于互联网的网络设备接受扫描,找出防火墙等未能覆盖的入侵漏洞。
漏洞扫描是一项不干扰系统的测试,由符合资格的第三方网络安全扫描服务商进行,符合资格的服务商可从以下的网址上选择: https://sdp.mastercardintl.com/vendors/vendor_list.shtml.
所有每月平均处理超过1万个Visa卡账户的商户及服务供应商,均须按规定进行每季一次的扫描。跟进扫描可确保先前的错漏已矫正。假若修正了生产环境中的网络或应用程序,您也可能需要额外执行扫描工作,从而避免基础设施内出现新漏洞。
Visa强烈建议您执行内部及外围(远程)网络的漏洞扫描,因为新漏洞随时可能出现。
| |
现场检查
现场检查是一项独立风险评估,为每月处理、储存或传输超过5万个Visa账户或交易的所有相关实体而设。现场检查由Visa合格安全评估机构 (下称QSA)执行。这些评估组织是得到Visa核准并能提供专门的资讯科技安全检查服务,并可确认您的系统已达到PCI的标准。
在现场检查的过程中,QSA会依照一套符合12项PCI标准的测试程序执行工作。您可由“下载与资源中心”取得现场检查的步骤的资料。
您更可从“下载与资源中心”索取亚太区的Visa合格安全评估机构的详细名单。您也可选择由Visa亚太分部的支付安全服务部提供现场检查的服务。详情请向Sophia Chen查询。
如果您目前已聘用安全顾问为您执行现场检查,而他们也有意成为Visa合格安全评估机构一分子的话,请联络您的收单银行。Visa会评估他们的资历与经验,但不保证会赋予相关资格。
| |
参与计划的成本
PCI的网上自我评估问卷和弱点扫描服务由Visa亚太地区免费提供,但执行评估、验证及修正等过程的开支,则需由您的机构自行承担。至于系统达到指标所需的时间与开支,将取决于扫描时您的系统达到哪个标准级别。
现场检查应由Visa合格安全评估机构 (QSA)、或Visa亚太地区的支付安全服务 (VPSS)小组执行。您可与合格安全评估机构或支付安全服务小组协商费用。执行评估及验证的开支,将由您的机构自行承担。至于系统达到指标所需要的时间与开支,将取决于您的系统目前达到哪个标准级别。
Visa建议,现已聘用合格安全评估机构或Visa支付安全服务小组的机构,应将每年执行一次的系统检测范围,扩展至每年检测是否已符合客户信息安全的标准。这样能减低需要达到有关要求的资源及成本。
| | | |
|
|
|
