[[172522]]

什么是PCI內(nèi)部安全評估員?我聽說PCI SSC在開展PCI ISA培訓項目，請問這是什么，它們是否可幫助企業(yè)提高合規(guī)性?

Mike Chapple：目前支付卡行業(yè)安全標準委員會(PCI SSC)開始進行內(nèi)部安全評估者(ISA)項目，該項目用于認證商家、銀行和支付處理機構(gòu)的員工的PCI DSS專業(yè)知識。該項目的目的是攜手PCI合格安全評估機構(gòu)(QSA)程序來認證內(nèi)部評估員。PCI ISA項目可為企業(yè)提供訓練有素的內(nèi)部人員團隊，這些內(nèi)部人員可輕松地與QSA合作，并給企業(yè)的內(nèi)部合規(guī)過程帶來一致性和可靠性。符合資格的企業(yè)可讓其內(nèi)部安全審計專業(yè)人員申請ISA項目，但這些企業(yè)本身必須認證為ISA贊助公司。

需要注意的是，與QSA項目不同，ISA項目不是強制性。它只是為企業(yè)提供了一個機會，讓企業(yè)培養(yǎng)可很好地在支付合規(guī)領域工作的內(nèi)部人員，以幫助企業(yè)提高其PCI DSS合規(guī)能力。當企業(yè)擁有PCI ISA時，他們可更好地減少外部QSA發(fā)布的灰色地帶發(fā)現(xiàn)。PCI ISA項目成員還可能更熟悉其企業(yè)的IT環(huán)境、內(nèi)部流程和其他合規(guī)程序及要求。盡管有這些好處，ISA成員可能缺乏局外人的視角，畢竟這在審計過程有時非常重要。

個人尋求獲得ISA認證必須由雇傭他們作為全職員工的商家或服務提供商提名。他們還需要完成在線或面對面培訓，以及通過PCI ISA認證考試。