什么是PCI内部安全评估员?我听说PCI SSC在开展PCI ISA培训项目,请问这是什么,它们是否可帮助企业提高合规性?
Mike Chapple:目前支付卡行业安全标准委员会(PCI SSC)开始进行内部安全评估者(ISA)项目,该项目用于认证商家、银行和支付处理机构的员工的PCI DSS专业知识。该项目的目的是携手PCI合格安全评估机构(QSA)程序来认证内部评估员。PCI ISA项目可为企业提供训练有素的内部人员团队,这些内部人员可轻松地与QSA合作,并给企业的内部合规过程带来一致性和可靠性。符合资格的企业可让其内部安全审计专业人员申请ISA项目,但这些企业本身必须认证为ISA赞助公司。
需要注意的是,与QSA项目不同,ISA项目不是强制性。它只是为企业提供了一个机会,让企业培养可很好地在支付合规领域工作的内部人员,以帮助企业提高其PCI DSS合规能力。当企业拥有PCI ISA时,他们可更好地减少外部QSA发布的灰色地带发现。PCI ISA项目成员还可能更熟悉其企业的IT环境、内部流程和其他合规程序及要求。尽管有这些好处,ISA成员可能缺乏局外人的视角,毕竟这在审计过程有时非常重要。
个人寻求获得ISA认证必须由雇佣他们作为全职员工的商家或服务提供商提名。他们还需要完成在线或面对面培训,以及通过PCI ISA认证考试。