Dịch vụ đánh giá tuân thủ PCI DSS của Trustwave (Trustwave Compliance Validation Service – CVS)

Dịch vụ đánh giá tuân thủ PCI DSS của Trustwave (Trustwave Compliance Validation Service – CVS) giúp bạn quản lý và tuân thủ theo tiêu chuẩn PCI và đảm bảo an ninh môi trường thẻ thanh toán.
Trustwave cung cấp dịch vụ đánh giá đạt chuẩn PCI hàng đầu trong các nhà cung cấp dịch vụ tương tự hiện nay.
Bộ tiêu chuẩn PCI DSS bao gồm 12 tiêu chuẩn định hướng việc kiểm soát an ninh dữ liệu với môi trường thẻ thanh toán. Bộ tiêu chuẩn này áp dụng với tất cả các tổ chức có lưu giữ, xử lý và truyền dữ liệu thẻ thanh toán hoặc các tổ chức có khả năng ảnh hưởng đến môi trường thẻ thanh toán (cardholder data environment – CDE). Những tổ chức nào có số lượng giao dịch trên 6 triệu/ năm và các nhà cung cấp dịch vụ đều phải được các bên thẩm định đánh giá tuân thủ, bao gồm cả đánh giá hệ thống tại chỗ (onsite assessment).
Trustwave cung cấp dịch vụ CVS đánh giá tuân thủ cho tất cả các doanh nghiệp tham gia môi trường này.

Quản lý rủi ro và tuân thủ theo nhu cầu
Dịch vụ CVS được Trustwave cung cấp qua TrustKeeper® portal nhằm quản lý an ninh và tuân thủ tập trung và tích hợp. TrustKeeper Compliance Manager giúp bạn quản lý và xác thực tuân thủ PCI DSS và rà soát rủi ro an ninh trên các môi trường giao tiếp với Internet.
Tuân thủ PCI không phải là vấn đề thời điểm. Ngược lại chúng là một hoạt động thường xuyên, liên tục đòi hỏi giải pháp an ninh có cấu trúc hoàn hảo và tập trung. Trustwave cung cấp các công cụ, tài nguyên, nhân lực và kinh nghiệm giúp bạn đạt chuẩn – từ giai đoạn đầu tiên là xây dựng kế hoạch đến khâu chuẩn bị các báo cáo tuân thủ – Report on Compliance (ROC) và báo cáo xác nhận tuân thủ – Attestation of Compliance (AOC).

Trustwave CVS: Các giai đoạn của dịch vụ
Trustwave CVS cung cấp cho bạn các chuyên gia đánh giá tuân thủ và chuyên gia thẩm định tuân thủ (QSA) – những người sẽ giúp bạn trong suốt quá trình, cùng một cố vấn trưởng để hỗ trợ bạn liên tục, tùy theo mức độ phức tạp của các cấp dịch vụ.
Dịch vụ CVS bao gồm 5 giai đoạn như sau
1. Rà soát và thăm dò
QSA đánh giá phạm vi môi trường thẻ của tổ chức và xác định các địa điểm, ứng dụng và quy trình của môi trường thẻ
2. Đánh giá tại chỗ và kiểm tra theo tiêu chuẩn PCI DSS
Trustwave tiến hành phỏng vấn và quan sát hệ thống, quy trình để đánh giá mức độ tuân thủ của bạn. Quá trình này bao gồm việc rà soát các tài liệu về chính sách, thủ tục, cấu hình hệ thống, mô hình mạng, mô hình dữ liệu và các bằng chứng khác.
3. Dự thảo báo cáo tuân thủ
QSA dự thảo các báo cáo chứng minh tuân thủ ROC và AOC dựa trên kết quả của bước 2.
4. Kiểm soát chất lượng, ra báo cáo ROC và AOC
Chuyên gia QA độc lập của Trustwave đánh giá báo cáo nhằm đảm bảo môi trường của bạn hoàn toàn đáp ứng tiêu chuẩn PCI DSS.
5. Thảo luận kín và ra báo cáo cuối cùng
Kết thúc quy trình và gửi báo cáo ROC lên các ngân hàng cũng như báo cáo AOC được công bố để khẳng định việc tuân thủ của bạn

Đánh giá tuân thủ liên tục
Bên cạnh việc đánh giá tuân thủ, Trustwave cung cấp dịch vụ đánh giá bổ sung 3 tháng/ lần nhằm xác nhận môi trường thẻ của bạn được đảm bảo an ninh theo đúng chính sách

Phân tích GAP và khắc phục
Một số tổ chức có yêu cầu phân tích GAP trước khi quá trình đánh giá tuân thủ bắt đầu. Trong trường hợp này, Trustwave sẽ tiến hành 5 giai đoạn dịch vụ nói trên với kết quẩ là Báo cáo phân tích GAP thay vì báo cáo ROC.
Với dịch vụ này, chuyên gia Trustwave sẽ phối hợp với bạn nhằm xác định khoảng cách hiện tại của tổ chức với tiêu chuẩn PCI DSS liên quan và phương án thu hẹp, đi đến đạt chuẩn.

TrustKeeper tập trung hóa các quy trình
Qua cổng TrustKeeper®, Compliance Manager sẽ tập trung hóa việc quản lý quy trình đánh giá thường niên.
Compliance Manager hỗ trợ nhóm chuyên gia Trustwave đánh giá tuân thủ, bao gồm:
– quản lý tập trung các quy trình đánh giá tuân thủ
– đóng gói tài liệu, hồ sơ, báo cáo
Trustwave vừa là hãng rà soát – PCI Approved Scanning Vendor (ASV) lại vừa là hãng thẩm định – QSA nên toàn bộ quá trình đánh giá tuân thủ PCI DSS của Trustwave là “một cổng”. Bạn không phải làm việc với các bên thứ 3, mọi chi phí đều được kiểm soát chặt chẽ bởi chính bạn trong suốt quá trình sử dụng dịch vụ và công cụ do Trustwave phát triển bằng công nghệ có bằng sáng chế của mình.

Trustwave – hãng thẩm định
Ngoài là hãng thẩm định – QSA-C và ASV, Trustwave còn được Hiệp hội PCI DSS công nhận là hãng thẩm định các ứng dụng thanh toán thẻ – PA-DSS, hãng thẩ định mã hóa đầu cuối – P2PE và hãng điều tra sự kiện – PCI Forensic (PFI).

Dịch vụ quản lý rủi ro an ninh
Ở mức độ cao nhất, PCI DSS còn có thể yêu cầu bạn phải kiểm thử và rà soát các hệ thống và ứng dụng trong mạng nội bộ. Để hỗ trợ, Trustwave cung cấp toàn bộ các dịch vụ trên nhằm rà soát tự động, kiểm thử thủ công, tư vấn khắc phục các rủi ro an ninh đối với môi trường mạng, ứng dụng và dữ liệu nhằm giúp bạn bảo vệ dữ liệu khách hàng, thông tin tài chính, tài sản sở hữu trí tuệ và các tài sản trọng yếu khác.

Trustwave IVS cung cấp:
– Dịch vụ quản lý mạng nội bộ , thông qua một thiết bị được đặt trong mạng nội bộ của bạn hay còn biết đến với tên gọi UTM – Unified Threat Management
– Kiểm soát dữ liệu theo 20 tiêu chuẩn kiểm soát của SANS và 3.000 rủi ro an ninh đã được công bố.
– Không giới hạn số lần scan cho 256 địa chỉ IP
Dịch vụ Trustwave Managed Security Testing (MST) bao gồm kiểm thử thủ công.

Dịch vụ đào tạo nhận thức an ninh
PCI yêu cầu các merchant yêu cầu tổ chức của bạn phải có mức độ nhận thức cao về khía cạnh an ninh nhằm vận hành môi trường thẻ an toàn và chính xác. Các chuyên gia của Trustwave sẵn sàng cung cấp các dịch vụ này.

Phát triển chính sách
Trustwave cũng có thể hợp tác hỗ trợ phát triển các chính sách IT nội bộ đo ni đóng giày theo yêu cầu của tổ chức của bạn.

Các giải pháp an ninh giúp đảm bảo an ninh tuân thủ
Trustwave còn cung cấp một loạt các giải pháp an ninh liên hoàn cho ứng dụng, network và database nhằm đảm bảo an ninh và tuân thủ cho tổ chức của bạn.