|
|
 |
自我評估問卷 (SAQ)
這份自我評估問卷是免費和保密的,請以「是」或「否」回答問題,以評估您的系統是否已達到客戶資料安全標準。
請依照以下簡單步驟,完成這份網上自我評估問卷:
大多數商業機構會下載及列印自我評估問卷,並於填妥網上問卷前收集回應。請前往 「下載與資源中心」 列印自我評估問卷。 下載可供列印的問卷後,請詢問公司內有關專業人員的意見,例如負責政策及遵守、公司保安及資訊保安的職員,以收集準確的答案。 Complete the Self-Assessment Questionnaire. 完成自我評估問卷。
網上自我評估問卷的結果會在PCI評估報告內列出,報告會評價您所處的風險水平。
所有每月處理少於10,000個Visa賬戶、並取得新加坡TrustSG Seal資格的電子商貿商戶,都已自動達到PCI標準。這些商戶毋需填寫自我評估問卷。請瀏覽www.trustsg.org.sg查詢更多有關TrustSG Seal的資料。
| |
漏洞掃描
由外部進行的漏洞掃描能評估系統的保安級別,並助您防範外來威脅。掃描工具能有效測試您的網絡設備、寄存系統和應用程式的漏洞,尋找弱點以作出改善。
外部 / 遙距漏洞掃描 - 假如您的網絡可聯接至互聯網,即有受外來「黑客」入侵的可能。因此您應安排所有建基於互聯網的網絡裝置接受掃描,找出防火牆等內部保安措施未能覆蓋的入侵漏洞。
漏洞掃描是一項不干擾系統的測試,由合資格的第三方網絡保安掃描服務商進行,有關機構從以下的合資格服務商一覽中選出:https://sdp.mastercardintl.com/vendors/vendor_list.shtml
所有每月平均處理超過10,000宗Visa 交易的商戶及服務供應商,均須按規定進行每季一次的掃描。跟進掃描可確保先前的錯漏已矯正。假若修正了生產環境中的網絡或應用程式,您或需額外執行掃描工作,從而避免基礎設施內出現新漏洞。
Visa強烈建議您執行內部及外圍(遙距)網絡的漏洞掃描,因為新漏洞隨時可能出現。
| |
實地評核
實地評核是一項獨立風險評估,為所有每月處理、儲存或傳輸超過50,000個Visa賬戶或交易的機構而設。實地評核由Visa合資格安全評估機構 (下稱QSA)執行。這些評估組織能提供專門的資訊科技保安評核服務,並可確認您的系統已達到PCI的標準。
實地評核的過程中,QSA會依照一套符合12項PCI標準的測試程序執行工作。您可由「下載與資源中心」取得實地評核步驟的資料。
您更可從「下載與資源中心」索取亞太區的Visa合資格安全評估機構的詳盡名單。您亦可選擇由Visa亞太分部的支付安全服務部提供實地評核服務。詳情請向Sophia Chen查詢。
如果您目前已聘用保安顧問為您執行實地評核,而他們亦有意成為Visa合資格安全評估機構一分子的話,請聯絡您的收單銀行。Visa會評估他們的資歷與經驗,但不保證會賦予相關資格。
| |
參與計劃的成本?
PCI的網上自我評估問卷和漏洞掃描服務由Visa亞太分部免費提供,但執行評估、驗證及修正等過程的開支,則需由您的機構自行承擔。至於系統達到指標所需的時間與開支,將視乎作掃描時您的系統達到哪個標準級別。
實地評核應由Visa合資格安全評估機構 (QSA)、或Visa亞太分部的支付安全服務 (VPSS)小組執行。您可與屬意的合資格安全評估機構或支付安全服務小組協商費用。執行評估及驗證的開支,將由您的機構自行承擔。至於系統達到指標所需要的時間與開支,將視乎您的系統現時達到哪個標準級別。
Visa建議,現已聘用合資格安全評估機構或Visa支付安全服務小組的機構,應將每年執行一次的系統檢定範圍,擴展至每年檢定是否已符合客戶資料安全的標準。這樣能減低需要達到有關要求的資源及成本。
| |
| |
|
|
|
