有助于符合 PCI 合规性的服务？

Question 1

不——这个问题没有快速的解决方案。

您的选择是：

聘请 IT 安全公司或具有 PCI 合规性经验的顾问，他们将能够指导您完成整个过程。（这可能是最快的，但实际成本最高）
自行修复问题学习如何解读审计结果（这可能需要团队中几个人的帮助）
1. 从你的团队中召集合适的人员
  - 程序员（负责软件修复 - 最好具有应用程序安全经验）
  - 网络安全工程师（负责网络安全修复）
  - 业务分析师（了解您与信用卡数据交互的人）
  - 合规专家（如果有）
2. 审查审计结果报告并找出每个负面发现。
3. 评估每个负面发现以了解问题并指派人员解决这些问题
  - 您提到的例子“描述：URL X 类别参数中的跨站点脚本漏洞。”只是一个可能的 IT 安全漏洞，与 PCI 合规性没有直接关系，但很可能会在审计中被标记。
  - 审计人员通常会针对应用程序运行自动漏洞扫描工具，而这些工具通常会导致误报。例如：XSS 漏洞可能不是真正的漏洞，但该工具将其标记为可疑。根据我的经验，修复这些问题比每次都试图解释为什么是误报更容易。
4. 查看PCI DSS 指南确保您理解它们，并且没有其他需要解决的问题。
5. 您现在应该为下一次 PCI DSS 审核做好准备了！

Answer

不——这个问题没有快速的解决方案。

您的选择是：

聘请 IT 安全公司或具有 PCI 合规性经验的顾问，他们将能够指导您完成整个过程。（这可能是最快的，但实际成本最高）
自行修复问题学习如何解读审计结果（这可能需要团队中几个人的帮助）
1. 从你的团队中召集合适的人员
  - 程序员（负责软件修复 - 最好具有应用程序安全经验）
  - 网络安全工程师（负责网络安全修复）
  - 业务分析师（了解您与信用卡数据交互的人）
  - 合规专家（如果有）
2. 审查审计结果报告并找出每个负面发现。
3. 评估每个负面发现以了解问题并指派人员解决这些问题
  - 您提到的例子“描述：URL X 类别参数中的跨站点脚本漏洞。”只是一个可能的 IT 安全漏洞，与 PCI 合规性没有直接关系，但很可能会在审计中被标记。
  - 审计人员通常会针对应用程序运行自动漏洞扫描工具，而这些工具通常会导致误报。例如：XSS 漏洞可能不是真正的漏洞，但该工具将其标记为可疑。根据我的经验，修复这些问题比每次都试图解释为什么是误报更容易。
4. 查看PCI DSS 指南确保您理解它们，并且没有其他需要解决的问题。
5. 您现在应该为下一次 PCI DSS 审核做好准备了！

Question 2

使用搜索短语“信息安全公司”进行搜索应该可以让您朝着正确的方向前进。

Answer

使用搜索短语“信息安全公司”进行搜索应该可以让您朝着正确的方向前进。

Question 3

好吧，这实际上应该足以识别导致 XSS 漏洞的应用程序和路由。您的开发人员应该能够识别导致该漏洞的代码路径并修复它。如果它不是内部应用程序，您将需要与供应商联系以解决问题。这是假设他们给您的是真实的 URL，而不仅仅是“X”，如果他们只传递给您“X”，那么您需要向审计公司寻求澄清。

Answer

好吧，这实际上应该足以识别导致 XSS 漏洞的应用程序和路由。您的开发人员应该能够识别导致该漏洞的代码路径并修复它。如果它不是内部应用程序，您将需要与供应商联系以解决问题。这是假设他们给您的是真实的 URL，而不仅仅是“X”，如果他们只传递给您“X”，那么您需要向审计公司寻求澄清。

相关内容