我们的任务

我们的任务

PCI DSS合规的好处


作为商家或服务提供商

降低安全漏洞风险

赢得客户的信任

避免支付品牌的高额罚款

降低安全漏洞风险

赢得客户的信任

避免支付品牌的高额罚款

您是否需要PCI DSS合规?


如果您的业务通过支付卡进行交易,您必须遵守 PCI DSS合规要求。 PCI DSS含有 12 项合规要求,以应对客户支付信息面临的日益严重的威胁。 未能遵守该标准的组织可能会被处以5,000 美元至 100,000 美元之间的罚款以及其他处罚

具备PCI资质的安全评估员


MXC 具有具备 PCI 安全标准委员会资格的专业人员。 PCI DSS 的评估员,也称为 PCI 合格的安全评估员 (QSA)。 作为 QSA,我们能够协助商户和服务提供商通过合规证明 (AOC) 遵守 PCI 的自我评估问卷 (SAQ) 和合规报告 (ROC)。

为什么PCI认证的公司会遭遇攻击

为什么PCI认证的公司会遭遇攻击

PCI 认证的公司是否安全?


关于 PCI DSS 合规性的主要误解之一是经 PCI DSS 认证的企业是安全的或能够打击黑客的。 这意味着许多企业仅仅在他们的PCI DSS合规性清单上进行勾选,甚至只是在 PCI QSA 审计期间实施补偿控制,忽略了安全保护是一项持续不断的工作。 以下情况说明了糟糕的 QSA可能导致评估缺陷:

  • 仅依靠受访者的陈述来验证合规性的 QSA
  • QSA完全且依赖组织提供的证据
  • 耗费少量时间或根本没有时间进行评估、咨询和审计的 QSA
  • 不对系统组件进行代表性抽样的 QSA
  • 验证正面而非负面的 QSA

QSA 公司/QSA 员工的熟练程度和经验水平也可能导致组织不合规,无法通过评估的因素之一,例如:

  • 未能为组织确定正确的合规范围
  • 非特定安全产品或技术专家
  • 不熟悉黑客技术或攻击媒介

当商家不符合 PCI 规定,PCI 会因违反安全规定而处以最高 500,000 美元的罚款。此外,所有看似可能被泄露信息的个人都必须收到书面通知,以了解欺诈指控。因此,在计算这些成本时,安全漏洞的潜在成本可能远远超过 500,000 美元。数据泄露的其他潜在额外成本包括:

  • 增加审核要求
  • 区域内可能暂停使用信用卡
  • 恢复到事故前状态的成本和时间
  • 进行公关和事件管理的成本
  • 安全恢复期间的员工时间(工资)成本
  • 由于收银台和商店关闭,处理期间造成的业务损失成本
  • 由于公众形象受损和客户信任度下降导致销售额下降

事例介紹


旅游数据黑客导致希腊银行取消数千张银行卡,有报告显示,希腊四家主要银行机构在数据泄露后制定了安全协议,取消了 约15,000 张消费卡。在旅游网站上消费的用户们信息被泄露后,阿尔法银行、比雷埃夫斯银行、欧洲银行和希腊国家银行分别取消了他们的客户信用卡和借记卡。该旅游网站允许客户使用借记卡、信用卡(主要信用卡公司,例如 Visa 和 Mastercard)预定各种交通工具,以及酒店和旅游保险。 因此,在次旅游网站上使用的任何银行卡均都被取消替换。

为什么选择 MXC 安全作为您长期的信息安全顾问和网络安全顾问?

  • 我们拥有15 年以上为跨国公司和 FSI 公司提供信息安全咨询和 ISO 27001 ISMS 咨询的经验;我们提出的建议和控制举措,不仅可以满足 PCI DSS 清单/模板,还可以满足其他行业最佳实践,例如 ISO 27001 ISMS、NIST 和法规合规等;
  • PCI DSS 合规性评估不仅仅是基于检验清单的评估活动,更需要有经验的审计师来管理审计,实现双赢。 MXC的 QSA 拥有国际审计师注册协会(IRCA)认证的首席审核员和经验丰富的 信息安全审核员,具备 15 年以上的审核经验,掌握审核节奏,最大化优化质量结果。
  • 我们拥有越南当地的安全顾问充当支持和协调员,以促进及时有效的协调。越南当地的信息安全和 IT 文化也可以被视为重要的关键成功因素。
  • 我们为项目分配本地/区域全职专业人员
  • 高素质的渗透测试专业人​​员,配备 6 台 CREST 认证渗透测试设备/OSCP(注 *A
  • CREST 认证公司 – 渗透测试
  • 16年以上的渗透测试服务商
  • 越南的专业团队成员和具备双语能力的专家(越南语/英语)

注*A:渗透测试/漏洞评估服务不佳带来的风险: 工具驱动/自动化渗透测试并非真正的渗透测试,市面上很多渗透测试服务运行工具被(主要是免费软件,少数商业工具)作为测试的核心,此举并不能做到真正合格的渗透测试。工具不是测试成功的关键因素,评估人员的技能才是发现漏洞的关键。我们很多经验案例都表明,关键和高风险漏洞只能通过手动测试而不是自动化工具来发现。如果您获取的报告主要是工具生成的结果,那么您的组织就存在被真正的黑客攻击的风险,即使是普通的黑客也可以发现工具没有发现的漏洞。

客户案例


我们的方式


我们专有的PCI DSS咨询服务

阶段 0 – 项目启动和咨询

我们的 PCI DSS QSA 团队将通过启动会议的内容来确定项目时间表和承诺的细节。

阶段1——发现

在此阶段,PCI DSS 质量安全评估员 (QSA) 团队将收集文件以确认范围和初步检查。

阶段2——PCI DSS 需求测试

在此阶段,QSA 团队将执行 PCI DSS 就绪检查和 PCI DSS 需求测试来评估合规状态。 PCI DSS 就绪检查作为正式需求测试之前的初步测试。

阶段3——修复咨询服务

根据测试结果,MXC为客户提供所有必要的咨询支持和协助,以修复和遵守 PCI DSS 要求。 MXC将起草所有与 PCI DSS 相关的管理系统程序,协助客户审查并最终确定这些程序。最大限度地减少客户从零开始建立的付出。

阶段4——最终交付

QSA 将对从 PCI DSS 要求测试收集的证据进行分析并准备最终报告。

阶段5——质量保证

在交付最终报告之前,QSA 质量保证 (QA) 团队将进行内部审查,以确保报告符合内部 QA 标准。 ROC 审核完成后,QA 团队将最终确定 ROC 和 AOC 报告以交付给客户。

第六阶段——收尾

我们将向客户及其利益相关方进行汇报总结,交付报告并展示测试结果。