了解您需要做什么

1.分析数据流

详细审查并记录所有涉及捕获，授权和结算支付交易的流程（其中存在持卡人数据），以了解持卡人数据环境（CDE）的组成部分。确保标识所有受信任的，不受信任的和第三方连接，以及为防止未经授权而访问CDE所部署的任何机制。

确定持卡人数据所在的位置以及在数据流转过程中如何保护它

2.识别持卡人数据存储

准确记录您要存储的持卡人数据的哪些元素，存储该数据的所有位置以及组织为何需要存储它。记录您如何使数据变得不可读以及如何记录访问至关重要。知道需要保留数据多长时间以及何时可以安全删除数据，除了PCI DSS要求外，还应考虑商业，法律和法规方面的考虑。

了解存储的数据在哪里以及如何使其变得不可读

3.了解和文档范围

评估范围将始终包括那些处理，传输和/或存储持卡人数据的系统。还必须确定与它们共享一个网段，连接到它们或为您的CDE提供共享服务的那些系统，以避免可能影响合规性的任何问题或意外。

确定哪些组件，软件或连接会影响CDE的安全性

有效地管理您的程序

4.了解您的报告要求

付款品牌强制执行PCI DSS合规性和报告要求。各种报告类别级别取决于您的角色和年度交易量。确保您仔细检查所有适用的报告要求，以完全确定预期的结果。有效的方法可能包括与收单行，处理者和/或付款品牌联系人适当地验证您的假设。

与您的报告联系人进行协商，以确保正确无误

5.一切文件

与各种PCI DSS要求和子要求紧密结合的组织策略和过程是合规性工作的关键部分，需要明确的文档。还必须记住记录其他重要活动，包括变更管理工作，代码审查，安全意识计划，培训课程和计划授权，以反映您的总体安全方法。

使用全面的文档来支持您的合规政策

6.考虑业务需求和风险

PCI DSS要求的实际应用意味着要考虑意图，业务需求和评估的风险。您的工作应包括查看PCI DSS指南，阅读PCI安全标准委员会的出版物以及咨询您的QSA，以更好地了解如何在不损害已定义的业务需求的情况下合理地应用所需的控制。

确保PCI DSS合规性补充您的企业风险管理工作

7.正确的缺陷

在整个评估过程中，以及随之而来的合规管理工作中，通过使用合并的跟踪机制来跟踪缺陷和补救措施可以帮助对资源进行优先级排序，并使报告状态变得更加容易。您可能有很多无法立即解决的问题，了解环境的总体评估状态可能有助于您更有效地计划活动。

努力专注于缓解缺陷时，确认并记录所有缺陷

满足企业目标的努力

8.仔细考虑补偿控制

有时，业务和/或技术限制可能会阻止您遵守一项或多项PCI DSS要求。在这些情况下，可以部署补偿控件，这些控件可以满足受影响需求的意图和严格要求，并且超出其他要求。但是，使用补偿控件的复杂性可能会令人望而生畏，通常使得更容易遵守书面规定的受影响要求。

利用现有的网络安全优势减少对补偿控制的需求

9.定期检查您的计划策略

实现并保持PCI DSS的合规性可能会面临挑战。建立包括文件化角色和职责的已定义程序可以帮助确保您的CDE和支持流程保持合规性。通过建立持续的流程，定期的团队沟通以及与行业内的发展保持同步来管理您的合规性工作。

促进团队更多地参与PCI SSC活动，以扩展您的知识库

10.获得管理支持

确定计划的发起者和利益相关者并确保他们的参与和意识可以帮助使计划与企业业务目标和组织内计划保持一致，并为威胁环境的变化做好更好的准备。

寻求高级支持，以支持您的关键时间和资源投资

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• PCI 合规变得简单：5 种可以提供帮助的技术

• PCI DSS 4.0 合规性已迫在眉睫

• 支付型硬件安全模块在防止数据泄露中的作用

• 支付型硬件安全模块的5个主要优势

• 数据脱敏和数据加密一样吗？