什么是PCI內(nèi)部安全評估員？我聽說PCI SSC在開展PCI ISA培訓(xùn)項目，請問這是什么，它們是否可幫助企業(yè)提高合規(guī)性？

Mike Chapple：目前支付卡行業(yè)安全標(biāo)準(zhǔn)委員會（PCI SSC）開始進(jìn)行內(nèi)部安全評估者（ISA）項目，該項目用于認(rèn)證商家、銀行和支付處理機構(gòu)的員工的PCI DSS專業(yè)知識。該項目的目的是攜手PCI合格安全評估機構(gòu)（QSA）程序來認(rèn)證內(nèi)部評估員。PCI ISA項目可為企業(yè)提供訓(xùn)練有素的內(nèi)部人員團(tuán)隊，這些內(nèi)部人員可輕松地與QSA合作，并給企業(yè)的內(nèi)部合規(guī)過程帶來一致性和可靠性。符合資格的企業(yè)可讓其內(nèi)部安全審計專業(yè)人員申請ISA項目，但這些企業(yè)本身必須認(rèn)證為ISA贊助公司。

需要注意的是，與QSA項目不同，ISA項目不是強制性。它只是為企業(yè)提供了一個機會，讓企業(yè)培養(yǎng)可很好地在支付合規(guī)領(lǐng)域工作的內(nèi)部人員，以幫助企業(yè)提高其PCI DSS合規(guī)能力。當(dāng)企業(yè)擁有PCI ISA時，他們可更好地減少外部QSA發(fā)布的灰色地帶發(fā)現(xiàn)。PCI ISA項目成員還可能更熟悉其企業(yè)的IT環(huán)境、內(nèi)部流程和其他合規(guī)程序及要求。盡管有這些好處，ISA成員可能缺乏局外人的視角，畢竟這在審計過程有時非常重要。

個人尋求獲得ISA認(rèn)證必須由雇傭他們作為全職員工的商家或服務(wù)提供商提名。他們還需要完成在線或面對面培訓(xùn)，以及通過PCI ISA認(rèn)證考試。