信用卡收单机构和发卡机构的PCI DSS合规浅析

　　图：整体项目参考示意

　　支付产业的参与和发展

　　PCI DSS的标准制定和更新过程中，不仅包含标准委员会的成员，而且众多支付产业链的相关机构如协会、POS厂商、服务提供商、商户、金融机构、处理机构或者其他组织也都参与其中，目前致力到PCI工作中的机构和组织有600余家，详情请浏览：https://www.pcisecuritystandards.org/get_involved/member_list.php。

　　目前来讲，诸多全球的大型金融机构已经加入了PCI SSC的参与机构，包括但不限于：Austrialia and New Zealand Banking Group Limited、Bank of America、BMO、BNZ、Bank of the West、Deutsche Card Services、First National Bank、HSBC、Merrick Bank、Royal Bank of Scotland、Scotiabank、Swedban Card Services AB、TD Bank、US Bank、USAA等。

　　而参与组织提供的意见和建议对于PCI无疑是非常重要且具有价值的。笔者鼓励更多的中国机构，特别是收单机构和发卡机构共同参与到PCI的工作中。参与机构可以针对标准本身提出反馈意见，也可以更好的展示自己致力于PCI安全工作的贡献。

　　PCI委员会将针对参与组织给予以下特权：
　　在PCI安全标准委员会顾问团为参与组织代表投票。
　　提名选入PCI安全标准委员会顾问团的候选人代表。
　　对 DSS 规范的所有修订版的草案和新规范（公开发布之前）发表意见。
　　参加PCI安全标准委员会主办的一年一度的标准团体会议。
　　为PCI安全标准委员会需要考虑的事项建议新方法。

　　怎样选择合适的合规评估机构

　　上述内容简单介绍了PCI DSS合规评估中的经验分享，以及合规建设和评估项目的一般流程，然而在实际执行PCI DSS合规工作的时候，应该如何选择合适的PCI合规评估机构QSA或者评估人员提供协助并执行安全合规工作呢？以下的参考因素能够为机构在合规过程当中可能会面临的安全风险提供很好的安全保障。

　　专业性，QSA公司和团队人员资质，以及相关金融行业经验，作为行业领导者，提供标准和相关领域的协助和支持；
　　专注性，信息安全评估是否是该公司的主营的业务，且专注在该业务领域；
　　独立性， QSA公司是否独立于厂商，可以提供不带有任何偏见的实施整改建议和解决方案；
　　诚信；
　　该公司自身是否切实建立并执行质量管理和安全管理体系，具有优化的策略流程；
　　该评估机构是否能够提供除安全评估以外其他能够提高客户流程等有价值的服务；
　　该评估机构是否能够在很多不同的技术领域提供专业知识和经验；
　　该评估机构是否为客户提供足够的保险和合理的法律协议保障。

　　结束语

　　信息安全和风险管理工作应做到事前的防御，而不是事后去弥补。合规的安全评估机构以及风险监管机构是各个金融机构的朋友和战略伙伴，虽然从安全的角度会提出这样或者那样的难题，引入机构整改的工作量和成本，但是我们的目标是共同抵御黑客的入侵，共同避免安全事件的发生。
安全工作重在实施的过程和控制，而合规的状态仅仅是水到渠成的保障结果。我们期待着与更多的参与和合作，使得整个产业能够以构建“安全和风险”为根基，而不是仅仅去应对“合规要求和审计”。期待着通过微薄之力为中国的整体支付安全做出我们的贡献。