PCI DSS Workflow
2 min
Stegen i PCI DSS-arbetsflödet
There are several steps in the workflow to achieve PCI DSS compliance. Here we present a visual overview.
PCI DSS introduktion
En översiktlig introduktion till PCI DSS där organisationen får en grundläggande förståelse för kraven och vad processen innebär.
Definiera omfånget (Scope Definition)
Här definieras omfattningen av PCI DSS-arbetet. Man identifierar vilka system, processer och data som ingår i cardholder-miljön.
Gap-analys
En genomgång görs för att identifiera skillnader mellan nuvarande säkerhetsnivå och PCI DSS-kraven. Resultatet blir en lista med gap som behöver åtgärdas.
Åtgärda identifierade gap
Organisationen åtgärdar de identifierade gapen. Detta kan innebära tekniska, organisatoriska eller processrelaterade förbättringar.
Penetrationstest
Ett penetrationstest genomförs för att säkerställa att miljön är motståndskraftig mot attacker och att de implementerade åtgärderna fungerar som de ska.
Åtgärda sårbarheter
Eventuella sårbarheter som upptäcks under penetrationstestet åtgärdas. Detta steg fortsätter tills alla kritiska problem är lösta.
Slutrevision
En slutrevision genomförs av en kvalificerad revisor (QSA) för att verifiera att organisationen uppfyller samtliga PCI DSS-krav.
Är allt godkänt?
Revisionens resultat gås igenom för att avgöra om allt är godkänt eller om ytterligare åtgärder krävs.
RoC och AoC levereras
Om allt är godkänt utfärdas RoC (Report on Compliance) och AoC (Attestation of Compliance).
Ytterligare åtgärder (Remediation)
Om brister finns kvar krävs ytterligare åtgärder innan revisionen kan godkännas.
Kompatibel (Compliant)
När alla krav är uppfyllda och allt är godkänt betraktas organisationen som PCI DSS-kompatibel.
