PCI 2级商户可以进行PCI合规自评估么？

　　提问：我是一家2级公司银行的IT审计经理，我想知道是否内部审计部门能够按照PCI合规要求的那样进行定期的自评估，因为我们没有内部安全评估员(Internal Security Assessor，简称ISA)。

　　回答：是的，绝对可以。事实上，就组织内谁去完成该PCI自评估问卷( self-assessment questionnaire，简称SAQ)还没有要求。这个每年的评估——对于所有评为2至4级的PCI DSS公司都有规定：只要组织评估安全控制的有效性，然后向它的商业银行证明其运营符合PCI DSS要求。

　　正如你可能知道的那样，该PCI自评估计划不适用于1级的公司，它们必须让具备资格的安全评估人员(qualified security assessor，简称QSA)每年独立评估他们的安全控制，然后做出该公司银行的评估报告。

　　除了完成每年的评估外，PCI DSS也要求进行其它一些评估、它可由以下其他机构执行。

　　• 每个季度必须由被认可的扫描厂商(approved scanning vendor，简称ASV)进行外部的漏洞扫描，不能由组织内部人员实施。

　　• 每个季度可以由任何具备资格的团体(内部或是外部的)进行内部的漏洞扫描，只要他们独立于测试者和负责控制的人即可。内部审计人员是这个角色特别棒的候选人。在支付环境发生任何重大的变更后也必须进行这些扫描。

　　• 每年内部和外部的渗透测试可以由任何具备资格的团体完成，他们具备同样的独立性即可。

　　所以，关键问题是内部审计团队在你们公司的PCI DSS合规计划中确实起重要作用。