Professional Documents
Culture Documents
972-97442444
תוכן עניינים
הקדמה2 .......................................................................................................................................................... :
חלק ראשון –מר לואיס הרמן ,רכז PCI DSSבלאומי קארד 3 .................................................................................
על התקן ומועצת ה 3 .............................................................................................................................. :PCI
רמות סיווג ומועדי עמידה בתקן (4 ............................................................................................... :)deadlines
השלכות לאי -עמידה בתקן4 ......................................................................................................................... :
עמידה בתקן לארגונים שעובדים מול 5 ................................................................ :)payment application( PA
שיטת התיעדופים (5 .................................................................................................. :)prioritized approach
מילוי שאלון הערכה עצמית 5 ............................................................ :)self-assessment questionnaire( SAQ
חלק שני –תמונת מצב בישראל ובעיות הקשורות לתקן 6 .....................................................................................
פרדוקס העמידה ב 6 .............................................................................................................................. :PCI
מקצועיות ה QSAוסוגיות אי בהירות בתקן6 .................................................................................................. :
תמונת המצב בסקטורים הפיננסים\בנקאיים וממשלתיים7 .............................................................................. :
תמונת המצב בסקטור התקשורת והשירותים8 .............................................................................................. :
תמונת מצב בסקטור העסקי\מסחרי והבריאות8 ............................................................................................. :
נספח א' –פרטי קשר של רכזי PCI DSSבחברות האשראי בישראל9 ................................................................... :
נספח ב' –דוגמא לטופס למילוי פידבקים על ה QSAלמועצת ה 9 ................................................................... PCI
הקדמה:
תקן ה PCI-DSSהוצג לראשונה בשנת 2006על ידי חמישה גופים בינלאומיים שונים שהתאחדו למטרה זו:
Discover ,American Experss ,MasterCard ,Visaו .JCBמאז שנת 2008מורגש בשוק הישראלי לחץ
מסויים המופעל ע"י חברות הסליקה המקומיות המייצגות את חברות האשראי הבינלאומיות להקדים ולעמוד בתקן
ה .PCIרובם המוחלט של הארגונים המסחריים בארץ ,אשר מחוייבים לתקן ,מראים התקדמות בפעילות לעמידה
בתקן ,במיוחד משנת 2009ואילך .מטרת המפגש המתואר כאן היא לבדוק את תמונת המצב העדכנית בשוק ,נכון
לאפריל 2010ולאפיין את הנעשה בשוק הישראלי בהיבטי העבודה לקראת עמידה אפשרית בתקן.
במפגש השתתפו 33אנשי מקצוע מ 20ארגונים עסקיים גדולים במשק המחוייבים לעמידה בתקן (רובם המוחלט
ברמה 2או 1מבחינת היקפי העסקאות השנתיות) .המשתתפים הינם מנהלי אבטחת מידע ,מנהלי תשתיות ,אנשי
פיתוח ,DBAs ,פרוייקטורים לנושא PCIבארגון ועוד.
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
בחלק הראשון ניתנה סקירה כללית ומענה על שאלות המשתתפים בנוגע לתקן .את הסקירה העביר מר
לואיס הרמן ,מתאם פעילות PCI-DSSבחברת לאומי קארד.
בחלק השני סיפרו המשתתפים על הנעשה בארגונם ,תוכנית עבודה לשנה הקרובה ואתגרים\קשיים
הקשורים לדרישות התקן.
מניתוח רוח הדברים מדברי המשתתפים עולה ,כי ה"פרופיל" הממוצע של ארגון ישראלי הנדרש לעמוד בתקן ה
( PCIרמה )2הוא כזה:
הארגון סיים ,על פי רוב ,תהליך של מיפוי פערים ( )gap analysisמול התקן בעזרת ( QSAחברת ייעוץ
חיצונית מוסמכת).
הארגון נמצא בתהליך של בניית תוכנית עבודה מול התקן ובמקביל החל בביצוע של מספר פעולות
שייקדמו אותו לעמידה אפשרית בתקן.
אין תאריך יעד לסיום הפרוייקט.
רוב הארגונים "נתקעים" בהתמודדות עם דרישות 3ו 4של התקן ,המתייחסות לנושא הגנה והצפנה של
נתונים.
בחלק גדול מהארגונים ,בעיקר הפיננסים והארגונים הותיקים ,מתקשים להתמודד עם התאמת סביבות
מורכבות ומערכות לגאסי לדרישות התקן.
ברוב הארגונים מתחילים "מהמשימות הקלות" ולא תמיד בהתאם לגישת סדרי העדיפויות ( Prioritized
)Approachשל מועצת ה .PCI
על פי האמור לעיל עולה ,כי התקדמות השוק הישראלית איטית מזו של ארגונים דומים במדינות ארופה וארה"ב.
הסיבות לפער זה מגוונות מאוד :חלקן אוביקטיביות ונובעות מקשיים טכנולוגיים ותהליכיים קשים בארגונים .חלקן
האחר הוא תוצאה של קביעת סדר עדיפות נמוך יחסית לפרוייקט ה PCIבתוך מכלול הפרוייקטים הארגוניים,
העדר מחוייבות ההנהלה ואף משיכת זמן מצד הארגון.
מר לואיס הרמן הוא רכז PCI-DSSמטעם חברת לאומי קארד .מר הרמן הוזמן למפגש לתאר את ההתפתחויות
האחרונות סביב התקן ,לספר על מגמות הקשורות להתמודדות עם התקן ולענות על שאלות המשתתפים.
תפקיד המועצה הוא לקדם את יישום התקן .המועצה פיתחה מספר כלים ומתודולוגיות אשר יסייעו לארגונים
בעולם לעמוד בתקן .סדר העבודה הרצוי מבחינת מועצת התקן:
מילוי שאלון הערכה עצמית (במידה ואינך נדרש לבצע )AUDIT
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
מועצת ה PCIמעודדת קבלת פידבקים ,למשל לגבי טיב עבודת ה QSAומקצועיותו .לצורך כך מופיע באתר של
המועצה טופס מיוחד לנושא זה .לנוחיותכם מצורף טופס פיבדק (ראו נספח ג').
גם בית עסק יכול להצטרף למועצה כחבר פעיל ( .)PARTICIPATING ORGANISATIONהעלות לכך היא כ-
$2500בשנה.במידה וארגון מסויים אינו רשום כחבר במועצה עדיין קיימת אפשרות להעביר את
הערות/הסתייגויות שלו מהתקן באמצעות חבר שכן משתתף.כרגע רק לאומי קארד רשומה במועצה לכן ניתן
להעביר דרכה את הפידבק .אתר המועצה. www.pcisecuritystandards.org-
מסטרקארד -יש תאריך יעד לעמידה בתקן והוא סוף שנת .2010
בתי עסק ברמה ( -3עסקאות מסחר אלקטרוני בהיקף של בין 20,000למליון בשנה):
כדי לקדם את נושא העמידה בתקן עבור PAהוגדרו כבר תאריכי יעד לעמידה ב ( PA DSSIהתקן המקביל עבור
)PAsעבור PAsבעולם .תאריך היעד של ויזה ,לדוגמא ,לעמידה בתקן בכל הקשור למחיקת נתונים רגישים לאחר
אישור העסקה הוא ה 1ביולי .2010כמו כן בתאריך זה כל בית עסק חדש יחויב לעבוד עם PAשעומד בתקן PA
DSSבמלואו
PAשלא יעמוד בתקן מסתכן באיבוד לקוחות בגלל שחברות האשראי יחייבו את בתי העסק החדשים לעבוד רק
עם PAמוסמכים .שב"א עצמם צפויים על פי הערכות בשוק לעמוד בתקן בסעיפי הנתונים הרגישים עד סוף .2010
מועצת ה PCIוחברות האשראי רואות בהתקדמות לפי שיטת התיעדופים את הגורם החשוב ביותר בדרך לעמידה
בתקן .ארגון א' ,אשר זיהה במהלך מיפוי הפערים שלו כשלים מסוימים ואשר טיפל בחלק מהכשלים ללא
התייחסות לנושא אבני-הדרך ,נמצא בעמדה נחותה מול חברות האשראי יחסית לארגון ב' ,אשר זיהה את אותם
כשלים בדיוק ,טיפל בפחות כשלים מארגון א' ,אך סיים עמידה באבן-דרך אחת.
כל אבן-דרך מכילה מרכיבים מלפחות דרישה אחת מתוך 12הדרישות של התקן .השלמה של כל אבן-דרך
תלוייה ,על פי רוב ,בהתייחסות ליותר מדרישה אחת בתקן .יש להתקדם מאבן דרך מספר 1לאבן דרך מספר ,6
כי הנושאים הקריטיים לטיפול נמצאים בארבע אבני הדרך הראשונות .חברות האשראי הבינלאומיות מקבלות
דיווחים רבעוניים מהסולקים בארץ (לאומי קארד,כאל וישראכרט) לגבי התקדמות בתי העסק במונחי אבני-דרך
ולכן חשובה מאוד התקדמות לפי גישה זו.
חשוב מאוד למהר ולסיים את השאלונים (עד סוף ,)2010אך אין להקל ראש ברצינות מילוי השאלון .אין לחשוש
להחזיר שאלון אשר רוב התשובות בו הן שליליות.
הערה חשובה ללקוחות מסטרקארד :חברת מסטרקארד החליטה לבטל את שאלוני ההערכה העצמית החל משנת
2011לבתי עסק ברמה 2לאחר שגילו בחקירת מקרי זליגת מידע ,שבתי עסק אשר ארע בהם אירוע דליפה ועמדו
לכאורה בתקן (הגישו שאלון מושלם) לא עמדו בפועל בתקן .דבר זה נבע מאי-מילוי השאלון כהלכה או עקב חוסר
הבנה .מכיוון שאין בקרה על מילוי השאלון וחברות האשראי קבלו את השאלון ללא אימות נוסף ,נוצר פער בין
הצהרת בתי העסק שהם עומדים בתקן לבין המצב בשטח.
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
המצב ,נכון לאפריל 2010הוא כזה :עד סוף 2010ניתן עדיין לבתי עסק ברמה 2למלא שאלון הערכה עצמית.
מיוני 2011כל בית עסק ברמה 2יצטרך לעבור בקרה ( )AUDITעל ידי גורם חיצוני – QSAאו על ידי גורם פנימי-
עובד מטעם בית העסק אשר יעבור הסמכה קצרה ומיוחדת ע"י המועצה .בחירה זו של AUDITחיצוני או פנימי
גם תחול על בתי עסק ברמה .1
בכל הנוגע לבתי עסק שסולקים באמצעות יותר מחברת אשראי אחת –עליהם לפעול לפי הסולק המחמיר
יותר.
במקרה של אירוע דליפת מידע ,החבות היא על בית העסק עצמו ולא על העובד שחתם על .SAQ
בכל החקירות שהתבצעו עד היום לאחר דליפת מידע מבתי עסק שטענו שהם עמדו בתקן הוכח,
שלא עמדו בדרישות התקן בנקודת הזמן בה התבצעה הדליפה.
משורות אלה עולה ,כי חברות האשראי לא פיתחו עד היום מנגנון ריאלי שיגן על אותם ארגונים ,שכבר השקיעו
מאמצים רבים בעמידה בתקן .סוגייה זו היא אולי הסוגייה המדאיגה ביותר בכל הדיון סביב נושא זה.
האם יש גוף שדואג לבקר את ה QSAולסייע בהדרכה מקצועית לארגונים בעבודתם מול ?QSA
אחד המשתתפים ציין כי בארגונו קיימות מספר סוגיות הקשורות למערכות מורכבות בארגון וקיימת בקרב ה QSA
פרשנות משלו לגבי יישום התקן על מערכות אלה.
משתתף זה חושש מפעולות מיותרות או שגויות שיבוצעו כתוצאה משיקול דעת מוטה או מוטעה של חברת הייעוץ.
מר הרמן ציין ,כי בעיות פרשנות של התקן או אתגרים אחרים שבהם נתקל ה QSAיכולים וצריכים לקבל תשובה
ברורה על ידי מועצת התקן בפניה של ה QSAאו כל חבר מועצה למועצה (ראו איזכור בתחילת המסמך).
נקודה נוספת שמאוד מטרידה את הנוכחים היא חוסר הבהירות שיש בשוק לגבי מספר נקודות בתקן .דוגמא
לחוסר בהירות זו היא בהיקפי בדיקות החדירות ( )penetration testsומה בדיוק עליהן לכלול .חלק מהמשתתפים
סיפרו כי ה QSAהמליץ להם על בדיקות חדירות למערכות מסויימות בארגון שכלל לא ברור הקשר שלהן לעמידה
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
בתקן .נקודות אחרות נוגעות לנושא מידע שקיים על מסמכים סרוקים או בשרתי אחסון וכן בקבצים שטוחים ( flat
)filesבמערכות .MF
מר הרמן ציין כי נושאים אלה ואחרים מקבלים הסבר באתר המועצה וביקש להפנות את הקוראים לקישור הבא
לקבלת אינפורמציה נוספת על הנושא:
http://selfservice.talisma.com/display/2/index.aspx?c=58&cpc=MSdA03B2IfY15uvLEKtr40R5a5pV2lnCU
b4i1Qj2q2g&cid=81&cat=&catURL=&r=0.499874770641327
בחלק מהארגונים כבר השלימו יותר מאבן דרך אחת בהתאם להמלצות מועצת ה .PCIבארגונים אחרים בחרו
בגישה לפיה יתחילו בטיפול בפערים "הקלים".
.1ברבים מהארגונים בסקטורים אלה קיימות מערכות מורכבות מאוד ונתוני כרטיסי האשראי מבוזרים
במגוון סביבות מיחשוביות בארגון .אופי עבודה זה מקשה מאוד על התמודדות עם דרישות כמו 3ו 4
בתקן .נציגי הארגונים שהשתתפו סיפרו ,לשם המחשה ,כי בארגון ביטוחי טיפוסי קיימים נתוני כרטיסי
אשראי של לקוחות על מסמכי הפוליסות .מסמכים אלה נסרקים לשם אירכוב ואחזור מאוחר יותר במגוון
פורמטים ( TIFF ,PDFוכן הלאה) .דרישות התקן מדברות על הצפנה של כל הנתונים הרגישים של
הלקוחות .בגלל אופי העבודה ,נגישות המשתמשים למידע ופיזור הקבצים ,נוצר מצב כמעט בלתי אפשרי
שמקשה על איתור והגנה על המידע בארגון על פי התקן.
.2ארגונים מבוססי main-frameומערכות ותיקות אחרות מוצאים עצמם מתקשים בניטור והגנה על המידע
המאוחסן במערכות אלה ,במיוחד לאור הבעייתיות בנגיעה ממשית בקוד האפליקציות הרצות על מערכות
אלה .רבות מהאפליקציות נכתבו לפני 20 ,10ואף 30שנים .נגיעה נדרשת בקוד בחלק מהמקרים
מעכבת מאוד את התקדמות תהליך ההסמכה לתקן בארגונים רבים והיא נובעת מהחשש המוצדק
שנגיעה אפשרית תפגע בליבת הפעילות של הארגון.
.3חשש נוסף שחוזר ועולה בקרב המשתתפים הוא מפגיעה אפשרית בביצועי המערכות במקרה שייושם
פיתרון כזה או אחר .סביב השולחן ניכר ,כי חסר ניסיון פרקטי בעבודה עם חלק גדול מהפתרונות הקיימים
כיום בשוק וקשה להעריך את השפעתם ,אם בכלל ,על ביצועי המערכות בארגון.
.4טענה אחרת שעלתה על ידי המשתתפים מסקטור זה היא שתקן ה PCIלא מתייחס להיבטי ניהול
הסיכונים הכרוכים במושאי התקן .לשם השוואה צויין על ידי חלק מנציגי הסקטורים הללו ,כי תקנים
אחרים שהסקטור הפיננסי נדרש לעמוד בהם ,כמו למשל \357באזל 2ו ( 257בנקים וחברות ביטוח
בהתאמה) ,מביאים בחשבון את נושא ניהול הסיכונים ומשאירים לארגונים הנדרשים לעמידה בתקן
"חופש פעולה" מסויים בבחירת אופי העמידה בו .תקן ה PCIמאוד חד משמעי ברוב המובנים ואינו לוקח
בחשבון קשיים אובייקטיבים שיש לארגונים מורכבים במיוחד .גישה דיכוטומית זו מקשה מאוד על
העמידה בתקן באותם ארגונים ו"דוחפת" אותם לאמץ מדיניות של ניהול סיכונים עצמאית .במקרים
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
מסויימים יהיה חשש שיהיו ארגונים שיאלצו להסתכן בקנסות של מועצת התקן מול אלטרנטיבה בלתי
אפשרית ליישם את התקן "כמו שצריך".
ברוב הארגונים קיימת התלבטות רצינית לגבי התמודדות עם דרישה ,3כשקיימות שלוש אופציות מובילות
לפיתרון :הצפנת הנתונים ,טוקניזציה של הנתונים וערבול .בקרב חלק מהארגונים ניכרת מגמה לפיה נעשה מאמץ
לרכז עד כמה שניתן את מספר המשאבים הארגוניים שנושאים עליהם פרטי כרטיסי אשראי .פעולה נוספת
שנעשית במקביל בחלק מהארגונים היא שיפור היבט הפרדת הרשתות.
באחד מהארגונים החל תהליך העמידה בתקן במיפוי "נתיב הכסף" .בארגון פותחה מתודולוגיה לאיתור הנתונים
הרגישים .לאחר מיפוי הפערים החל שלב בניית תוכנית העבודה בהתאם לגישת התיעדופים ויעד הארגון עומד
כרגע על סיום אבן-דרך אחת לפחות עד סוף .2010בארגון זה ,בדומה לארגונים אחרים התלבטו במיוחד סביב
שיטת ההגנה על הנתונים הרגישים בהתאם לדרישה 3בתקן .ההתלבטות העיקרית בין בין פתרונות הצפנה לבין
פתרונות טוקניזציה.
ארגון אחר ,אשר ביצע מיפוי פערים מול התקן ,מינף את התהליך כדי לזהות כשלים מתודולוגיים וטכנולוגיים
שקיימים בארגון ללא קשר לתקן .נציגי ארגון זה מציינים ,כי תהליך ההסמכה לתקן מסייע מאוד "לנקות את
הארגון" מהרבה רעות שהשתרשו בו במהלך השנים .גם בארגון זה אותר תחילה "נתיב הכסף" ונסתמו פירצות
האבטחה החמורות ביותר לדעת הארגון .עמידה באבני דרך "נוחה פחות" לארגון וקשה יותר ליישם אותה.
.1קיימת תחושה בקרב הארגונים שבחירה בפתרונות טוקניזציה תחסוך הרבה כסף יחסית לפתרונות
הצפנה .אחד המשתתפים ציין כי ספקי פתרונות הטוקנים מבינים את שינוי הכיוון בשוק לכיוונם ומעלים
כל הזמן את המחירים .נציג אחד הארגונים שבחן בתחילת הדרך פיתרון טוקנים ציין ,כי המחיר שמוצע
כיום עבור אותו שירות גבוה בהרבה מהמחיר שהוא נחשף אליו בתחילת הדרך.
.2בהרבה מהארגונים סביב השולחן קיימות מערכות ארגוניות בגרסאות שלא הותאמו לעמידה בתקן .PCI
כך ,לדוגמא ,מוצא עצמו ארגון מסויים עם DBבגרסה שיצאה ללא התחשבות בתקן ( PCIכי היא יצאה
לשוק לפני התקן) .כדי לעמוד בתקן ,מחוייב הארגון לבצע שידרוג לגרסה חדשה שמשמעותו הכספית
כבדה מאוד .נציג אחד הארגונים שעומדים בפני בעיה זו ציין ,כי מנהלי הארגון יכולים להחליט מראש לא
לעמוד בתקן ולהסתכן בקנסות מאחר ושידרוג המערכת מסתכם בעלויות גבוהות מדי.
ארגונים השייכים לקבוצה זו מתחלקים לשתי תתי-קבוצות עיקריות :ארגונים עסקיים ברמות סיווג 1ו 2וארגונים
בעלי רמות סיווג נמוכות יותר .תת הקבוצה האחרונה מתקדמת בקצב איטי בהשוואה לשאר הקבוצות
המשתתפות במפגש .ארגונים השייכים לתת-קבוצה זו עדיין לא סיימו ,על פי רוב ,את תהליך מיפוי הפערים.
במקרים קיצוניים תהליך המיפוי כלל לא החל .תת הקבוצה השניה כוללת ארגונים גדולים יותר בנפחי העסקאות
שלהם .בתת קבוצה זו סיימו ברוב המקרים את מיפוי הפערים והחלו לעבד את תוכנית העבודה .בחלק מהארגונים
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
3 קיימת התלבטות דומה להתלבטויות בסקטורים אחרים לגבי שיטת הפעולה הרצוייה בהתמודדות עם דרישה
. ערבול או טוקניזציה,ובמיוחד בבחירה בהצפנה
This form is used to review QSAs and their work product, and is intended to be completed after
a PCI audit by the QSA client. While the primary audience of this form are QSA audit clients
(merchants or service providers), there are several questions at the end, under “QSA Feedback
Form for Payment Brands and Others,” to be completed as needed by Payment Brand
participants, banks, and other relevant parties. This form can be obtained directly from the QSA
during the audit, or can be found online in a useable format at www.pcisecuritystandards.org.
The client, not the QSA, should submit this form to PCI SSC. Please send this completed form
to PCI SSC at: qsa@pcisecuritystandards.org
CONTACT CONTACT
TELEPHONE TELEPHONE
E-MAIL E-MAIL
Business location where assessment took QSA employee who performed assessment
place
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
STREET NAME
CITY TELEPHONE
E-MAIL
STATE/ZIP
For each question, please indicate the response that best reflects your experience and provide
comments.
4 = Strongly Agree 3 = Agree 2 = Disagree 1 = Strongly Disagree
1) During the initial engagement, did the QSA explain the objectives, timing, and review
process, and address your questions and concerns?
Response:
Comments:
2) Did the QSA employee(s) understand your business and technical environment, and
the payment card industry?
Response:
Comments:
3) Did the QSA employee(s) have sufficient security and technical skills to effectively
perform this audit?
Response:
Comments:
4) Did the QSA sufficiently understand the PCI Data Security Standard and the PCI
Security Audit Procedures?
Response:
Comments:
Response:
Comments:
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
6) Did the QSA provide an accurate estimate for time and resources needed?
Response:
Comments:
Response:
Comments:
8) Did the QSA attempt to market products or services for your company to attain PCI
compliance?
Response:
Comments:
9) Did the QSA imply that use of a specific brand of commercial product or service was
necessary to achieve compliance?
Response:
Comments:
10) In situations where remediation was required, did the QSA present product and/or
solution options that were not exclusive to their own product set?
Response:
Comments:
11) Did the QSA use secure transmission to send any confidential reports or data?
Response:
Comments:
12) Did the QSA demonstrate courtesy, professionalism, and a constructive and positive
approach?
Response:
Comments:
13) Was there sufficient opportunity for you to provide explanations and responses
during the audit?
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Response:
Comments:
14) During the review wrap-up, did the QSA clearly communicate findings and expected
next steps?
Response:
Comments:
15) Did the QSA provide sufficient follow-up during your company’s remediation efforts,
until eventual compliance was achieved?
Response:
Comments:
Please provide any additional comments here about the QSA, your audit, or the PCI
documents.
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
NAME NAME
TELEPHONE TELEPHONE
E-MAIL
E-MAIL
For each question, please indicate the response that best reflects your experience and provide
comments.
4 = Strongly Agree 3 = Agree 2 = Disagree 1 = Strongly Disagree
1) Does the QSA clearly understand how to notify your payment brand about
compliance and non-compliance issues, and the status of merchants and service providers?
Response:
Comments:
2) Did you receive any complaints about QSA activities related to this audit?
Response:
Comments:
3) Did the QSA demonstrate sufficient understanding of the PCI Data Security Standard
and the PCI Security Audit Procedures?
Response:
Comments: