服務供應商 (Service Providers) 每季需依據 PCI DSS v4.0 條 文 12.4.2 ( PCI DSS v3.2.1 – 12.11 ) 確認公司的安全政策、程序等,是被實質上執行且進行定期各項控制措施檢查。
PCI DSS v4.0 – 12.4.2條文中,列舉了五項檢查項目,包含但不限於:
a) 每日日誌審核
每三個月執行日誌審查,確保審查作業如期完成。
在 PCI DSS v4.0 的要求中,以 “自動化方式” 執行審查為主,故在環境中建議配置如 SIEM、Log Analyzer 等機制,確保標的日誌自動化執行定期審查。
b) 網路安全控制的配置審核
針對網路安全控制設備 (如防火牆),每半年需進行 Rule-set 審查。
確認相關人員是否執行定期作業;Rule-set 的申請作業是否遵循公司規定,執行核准及相關測試等等。
c) 在新加入的系統、設備應用配置標準
環境中若有新增系統、設備,需套用已建立完善的配置標準並於每季執行網路設備、主機環境 (作業系統)、資料庫…等等檢查。
d) 回應安全警報
各類安全事件告警,是否依照公司規定的事件/事故回應流程 (如 Incident Response Plan, IRP) 進行處理及回應。
e) 變更管理程序
各類系統設備、應用系統,若有變更、部署的需求,應遵循公司規定的部署/發布流程進行。
在 PCI DSS v4.0 12.4.2.1 條文中,也要求:
- 上述審查,需留下審查紀錄。
- 若有未審查、未符合事項,需提供強化或補償措施。
- 需對公司 PCI DSS 合規的專責人員 (如合規主責窗口、高階主管指派的專責人員、PM 等) 進行審查並簽署。
簡言之,PCI DSS v4.0 12.4.2 條文主要要求「遵循性」,專責人員需將已訂立的各項措施、流程、政策等,確實地執行並定期檢查,使公司的合規作業更趨完整及穩定。