Qualys PCI Compliance & SAQ PCI 合規掃描與自我審查評估表模板
簡單、快速、自動化完成 PCI 合規檢查單一雲端解決方案,無縫降低安全漏洞及合規風險
One Platform. One Agent. Complete compliance for PCI DSS 4.0.
加速合規
Qualys 合規控制功能涵蓋
1,000 個 Policy
22,000 個控制項目、400 項技術和 100 項規範
MITRE ATT&CK
將合規控制加入VMDR中,可提升
53% 覆蓋率
改善資安狀態
安全強化分數
提升高達 79%
PCI DSS 框架
PCI DSS 框架有 12 項基本要求(包含 300 多項子要求),更多規範詳情請見 PCI 安全標準委員會。
1. 安裝、維護網路安全控制。
2. 不要在連網裝置或系統上使用廠商提供的預設密碼。
3. 透過加密或其他資料保護方式保護儲存的持卡人資料。
4. 對開放公共網路中的持卡人資料進行高度加密。
5. 保護所有系統和網路免於惡意程式侵害,並定期更新。
6. 維護系統、應用程式及軟體安全。
7. 最大限度的限制系統和持卡人資料的存取。
8. 指派使用者的唯一 ID,並驗證系統存取權限。
9. 控管、限制對持卡人資料的實體存取。
10.追蹤並監控對網路資源和持卡人資料的存取。
11.定期測試網路系統和流程的安全性。
12.維護組織內外部資訊安全政策。
PCI DSS 4.0 多了什麼?
新增包括:弱點掃描身份認證、資產分類、檔案存取管理、雲端安全性等規範。
風險導向的優先排序
PCI DSS 4.0 更加注重風險分析與經過強力確效(Validated)的風險排序。對雲端基礎設施的要求變得更加靈活與注重,並且新增了內部軟體開發的相關要求。
漏洞管理
新的 4.0 版本強調必須由授權掃描服務商(Authorized Scanning Vendor, ASV)執行外部漏洞掃描,同時新增要求確保內部掃描需經過驗證。此外,掃描頻率須視目標風險分析而定。
檔案完整性監控
必須實時監控對機敏資料的未授權存取以及網路設備的配置變更。必須使用自動化機制來執行變更事件的審查。關鍵安控系統(如變更檢測機制)若失效必須能即時被偵測並發出告警。
軟體及配置管理
對密碼複雜度的要求更加嚴格,而且特權帳戶必須定期驗證。第一方軟體的風險評估應涵蓋客製化軟體的漏洞。
PCI DSS 3.2.1 vs 4.0:改版重點一次看
| 重點項目 | PCI DSS 3.2.1 | PCI 4.0 |
|---|---|---|
| 強調 | 規範相對制式、具法定性,定義較嚴格 | 更加靈活、可自訂性,基於風險並持續監控 |
| 基於風險的優先排序 | 較為正式的風險評估分析及流程 | 更注重風險分析,強調真實風險的優先順序 |
| 弱點掃描 | 外部掃描需由授權掃描服務商 (ASV)執行 | 外部掃描需經 ASV,內部掃描則須經身份認證 |
| 雲端基礎設施 | 提供雲端使用建議 | 著重於提升雲端安全的強度與彈性 |
| 資安培訓 | 需進行資安意識培訓,但提引內容有限 | 要求更全面的培訓,更注重角色及職責 |
| 無線環境 | 提供方案以確保無線網路的安全 | 依現代化環境強化和規範項目 |
| 報告 | 較具體的指導方針,彈性較低 | 報告要求更多細節,可能需要依需求客製化,同時還要提供更多證據 |
| 軟體 DevOps | 提供安全軟體生命週期 (SLC) 綱要 | 含括更多安全規範 |
| 加密 | 已提及加密,但相關細節不多 | 擴及密碼保護,以避免盜用 |
| 掃描頻率 | 已提及,但不是基於風險 | 更新弱掃需基於風險且與分析相關 |
| 客製化軟體 | 已提及需保護,但缺乏具體指引 | 必須維護資產清單以利修補(Patch) |
簡單、快速、自動化完成 PCI 合規檢查
Qualys PCI 政策合規提供企業、網路商家和服務供應商最簡單、最具成本效益和高度自動化的方式來實現 PCI DSS (信用卡行業資料安全標準)合規性。
除了以 PCI ASV 進行掃描外,透過完整的 Qualys PCI 合規解決方案,更能滿足 97% 以上的 PCI DSS 要求。在資產管理、弱點檢測和回應、支付網站應用程式安全、安全配置管理和安全評估問卷等方面,都能獲得安全性和合規性。
PCI DSS 要求企業每 90 天要對所有面向 Internet 的網路和系統執行一次有既定流程的網路安全掃描。為實現合規性,企業必須識別、修復在掃描過程中檢測到的所有重大弱點。
Qualys PCI ASV 合規 App 主要特色
使用者友善的操作方式
PCI ASV 簡化並引導您完成 PCI DSS 的合規流程。透過提示、友善的直觀介面、線上協助,以及 Qualys 24/7 的 email 及電話支援,PCI ASV 讓您輕鬆保護持卡人資料免於侵害。無需花費大筆預算聘請專家顧問,即可滿足合規要求。
簡化掃描和修復
PCI ASV 以 6 個 sigma/標準差(99.9996%)的準確度掃描所有面向 Internet 的網路和系統,產出易於使用的報告,並為每個發現到的漏洞提供詳細的 patching 指引。如此一來,您便能確保自己滿足 PCI DSS 對持卡人資料的收集、儲存、處理和傳輸的保護要求。
支援網頁應用程式安全要求
PCI ASV 也涵蓋了標準中對於保護網頁應用程式安全的要求,其網站弱點掃描(WAS)模組可自動評估網頁應用程式的開發中、後期過程,確保它們以安全的方式完成和維護。WAS 模組能對所有類型的網頁應用程式(如內部自建、商用等)執行經過驗證和未經驗證的掃描。
自動提交報告
一旦完成漏洞修復,自動提交功能會協助完成合規流程。只需在帳號設定中輸入您的銀行與商家 ID,即可啟用此功能。PCI ASV 提供自動將合規狀態報告直接傳送給收單銀行或下載 PDF 格式報告兩種模式。
企業可加購自我審查評估表模板 (SAQ),內含多種合規所需的自我審查評估表,包含 ISO、PCI-DSS、HIPAA、NIST、GDPR 等法規型式及版本的模板。
進一步了解完整的 Qualys PCI 合規解決方案,以滿足 97% 以上的 PCI DSS 要求,實現網路資安資產管理、弱點檢測和回應、支付 Web 應用程式安全、安全配置管理和安全評估問卷的安全性與合規性。
