1
服务供货商 (Service Providers) 每季需依据 PCI DSS v4.0 – 12.4.2 条文( PCI DSS v3.2.1 – 12.11 ) 确认公司的安全政策、程序等,是被实质上执行且进行定期各项控制措施检查。
PCI DSS v4.0 – 12.4.2条文中,列举了五项检查项目,包含但不限于:
a) 每日日誌審核
每三個月執行日誌審查,確保審查作業如期完成。
在 PCI DSS v4.0 的要求中,以 “自動化方式” 執行審查為主,故在環境中建議配置如 SIEM、Log Analyzer 等機制,確保標的日誌自動化執行定期審查。
b) 網路安全控制的配置審核
針對網路安全控制設備 (如防火牆),每半年需進行 Rule-set 審查。
確認相關人員是否執行定期作業;Rule-set 的申請作業是否遵循公司規定,執行核准及相關測試等等。
c) 在新加入的系統、設備應用配置標準
環境中若有新增系統、設備,需套用已建立完善的配置標準並於每季執行網路設備、主機環境 (作業系統)、資料庫…等等檢查。
d) 回應安全警報
各類安全事件告警,是否依照公司規定的事件/事故回應流程 (如 Incident Response Plan, IRP) 進行處理及回應。
e) 變更管理程序
各類系統設備、應用系統,若有變更、部署的需求,應遵循公司規定的部署/發布流程進行。
在 PCI DSS v4.0 12.4.2.1 条文中,也要求:
- 上述审查,需留下审查纪录。
- 若有未审查、未符合事项,需提供强化或补偿措施。
- 需对公司 PCI DSS 合规的专责人员 (如合规主责窗口、高阶主管指派的专责人员、PM 等) 进行审查并签署。
简言之,PCI DSS v4.0 12.4.2 条文主要要求「遵循性」,专责人员需将已订立的各项措施、流程、政策等,确实地执行并定期检查,使公司的合规作业更趋完整及稳定。