【TechTarget中国原创】支付卡行业安全标准委员会(PCI SSC)迫于商业人士的压力,开始改进对认证合格的安全评估员(QSA)的培训,他们已制定出详细的计划来强化PCI QSA认证的审查过程,增加了许多工作人员,并为开展支付卡行业数据安全标准(PCI DSS)遵从评估的人员提供了资金支持。
PCI SSC的总经理Bob Russo说:“随着项目的展开,我们将继续增加人手。我们要保障QSA公司具备内部流程,确保及时和精确的评估。”
这一委员会是独立的组织,它由五家支付卡品牌共同建立,负责维护PCI标准以及管理培训、审批QSAs和合格扫描商(ASV)。它最初有三个人负责审核成百上千的PCI DSS评估,以查找矛盾,找出陷入困扰或紊乱的评估公司。这一组织雇佣了一位质量保证分析师而且目前有五分之一的员工负责审核QSA评估。
Russo没有透漏这次整治计划的预算。他说这次的预算分配占据PCI委员会总预算的相当大一部分,并且还会继续增加。
PCI委员会在2008年宣布了其QSA整治计划,以调节商业人士对评估不一致上的投诉,而且在一定程度上,合格的评估员在进行PCI DSS综合评估时并没有展现出应有的技能水平。因此,超过十几家认证评估公司都处于修正状态。一旦处于修正状态,这一公司将被给予90天的时间来改正问题并改进其流程。Russo说,大多数的公司都遵从了这一要求并采取了补救措施,但是还有一小部分的公司选择完全放弃他们的PCI DSS评估服务。
Russo说:“我想我们正在做我们所要做的事情,而且这将会改进评估的流程,会使支付流程更加安全,我听到商业人士的感慨,他们说现在和两年前大不一样了。”
这一评估审查流程还依赖于商业人士的反馈信息,以推动评估公司的审查工作。商业人士需要填写反馈表格,对评估员的技术水平和PCI DSS的理解水平进行评价。这些反馈还体现了QSA的道德水平;例如该评估员是否暗示某一特定的商品或服务是否必须遵从规则要求。
一位QSA说,某些安全专业人员将这项工作看成做快速评估和撰写报告,而另一些人员则试图将其发现的问题以数据形式进行备份。
这位QSA还说:“我想许多QSAs都会是很好的咨询顾问;他们对技术很精通,但我担心他们是否做出了足够的努力来证实他们的观点。在缺乏合理的指导意见的情况下,我知道我们落入了传统的账户审计流程,我们需要做更多的工作来弥补不足。”