负责管理支付卡行业数据安全标准的组织推出了一项新计划,帮助企业对其是否符合标准进行自我评估。
负责管理支付卡行业数据安全标准(PCI DSS)的组织推出了一项新计划,以帮助企业对其是否符合标准进行自我评估。
由Visa、万事达、美国运通和其他信用卡公司成立的PCI安全标准委员会今天宣布了一项针对该标准涵盖的商家和处理器的新的内部安全评估程序(ISA)。
安全委员会将培训和认证IT安全人员代表他们的公司进行PCI合规评估。PCI安全委员会总经理Bob Russo表示,该项目每月为期三天,将在世界各地举行,旨在提高商家和加工者进行的PCI自我评估的质量。
PCI标准是由主要的信用卡公司创建的,涵盖了所有接受信用卡和借记卡交易的组织。该标准指定了处理支付卡数据的所有公司都必须实现的几种高级安全控制。
公司,特别是大中型公司,必须定期提交符合要求的最新情况。
每个信用卡公司都有自己的符合性验证要求,例如Visa要求所有每年处理超过600万笔信用卡和借记卡交易的商家提交由合格的第三方评估人员进行的现场评估。小型商户可以选择每年进行自我评估以进行合规验证。
万事达卡也有类似的要求,但也表示,只有获得PCI安全标准委员会(PCI Security Standards Council)认证、进行PCI合规审计的IT员工才能进行自我评估。
高德纳公司(Gartner Inc.)分析师阿维娃·利坦(Avivah Litan)说,这个培训项目解决了一个重要需求。
利坦说:“这是安理会在相当长一段时间内作出的比较积极的宣布之一。零售商们对这种培训很感兴趣,因为他们希望掌握如何遵守PCI的最新情况。”
Litan表示,万事达卡要求只有合格的PCI审核员才能进行自我评估,这也为ISA认证计划创造了迫切需求。
Litan表示,该培训计划将使企业,特别是大型企业,能够利用其自身IT安全团队的人才来进行PCI安全评估。
“有很多公司拥有非常有才华和熟练的保安人员。他们中的许多人在评估合规方面比第三方评估人员更熟练。”她说,培训还将帮助企业更好地理解合规验证要求。
为期三天的培训费用为每人2,495美元。作为PCI安全标准委员会成员的公司的费用是每人1,495美元。第一个培训项目定于5月19日至21日在澳大利亚悉尼举行。
鲁索说,美国的第一次会议定于8月举行,不过还没有选定地点。
根据ISA计划颁发给个人的认证是公司特有的,有效期只有一年。Russo说。他说,如果在该项目下接受培训并获得认证的个人后来离开了资助他的公司,认证将不再有效。
鲁索说:“我们并不是要在这里派出流氓安全评估人员。”“只有当你打算在你工作的公司内部这么做时,这才有效。这并不是为了创造一个自由职业者的劳动力。”
Jaikumar Vijayan为Computerworld报道数据安全和隐私问题、金融服务安全和电子投票。在推特上关注Jaikumar @jaivijayan或订阅Jaikumar的RSS feed。他的电子邮件地址是jvijayan@computerworld.com。
阅读更多关于教育/培训的内容计算机世界教育/培训知识中心。
这篇文章《PCI委员会启动IT人员认证计划》最初发表于《计算机世界》 .