PCI-DSS合规评估Skill assess-pci

此技能用于执行PCI-DSS(支付卡行业数据安全标准)合规性评估,包括范围确定、SAQ选择、需求评估和差距分析。关键词:PCI-DSS、合规、安全审计、支付卡数据、风险评估。

合规 0 次安装 0 次浏览 更新于 3/11/2026

name: assess-pci description: 执行PCI-DSS范围评估和支付卡处理合规性审查。 argument-hint: <范围描述> allowed-tools: 任务, 技能

PCI-DSS合规性评估

执行全面的PCI-DSS范围合规性评估。

工作流程

步骤1:加载所需技能

加载这些技能:

  • pci-dss-compliance - PCI要求和SAQ指导
  • security-frameworks - 安全控制映射
  • data-classification - 持卡人数据识别

步骤2:生成安全审计员代理

使用以下提示生成security-auditor代理:

为以下系统执行全面的PCI-DSS合规性评估:$ARGUMENTS

执行以下评估:

1. 范围确定
   - 识别所有持卡人数据流
   - 映射持卡人数据环境(CDE)
   - 识别连接系统
   - 评估范围减少机会

2. SAQ选择
   - 确定合适的SAQ类型
   - 验证SAQ资格
   - 识别任何不符合资格的因素

3. 范围减少分析
   - 令牌化机会
   - P2PE资格
   - 托管支付页面选项
   - 网络分段评估

4. 需求评估(12个需求)
   - 需求1-2:网络安全
   - 需求3-4:持卡人数据保护
   - 需求5-6:漏洞管理
   - 需求7-9:访问控制
   - 需求10-11:监控和测试
   - 需求12:安全策略

5. 差距分析
   - 比较当前状态与PCI DSS 4.0
   - 识别不符合的控制
   - 按风险和截止日期优先排序

6. 证据评估
   - 审查文档
   - 评估扫描/测试证据
   - 识别证据差距

提供完整的PCI-DSS评估,包括:
- 范围图和边界
- SAQ推荐及理由
- 按需求评估
- 优先修复计划

步骤3:生成评估报告

确保报告包括:

  • 执行摘要与合规状态
  • 范围图
  • SAQ推荐
  • 详细需求评估
  • 修复路线图及PCI 4.0截止日期

示例用法

# 评估电子商务结账
/compliance-planning:assess-pci "使用Stripe Elements的电子商务结账"

# 评估零售POS系统
/compliance-planning:assess-pci "具有P2PE终端的零售点-of-sale系统"

# 评估支付网关集成
/compliance-planning:assess-pci "具有直接API集成的自定义支付处理"

输出格式

# PCI-DSS评估:[系统名称]

## 执行摘要

### SAQ类型:[A / A-EP / B / B-IP / C / C-VT / D / P2PE]

### 整体合规性:[合规 / 部分合规 / 不合规]

| 需求 | 状态 | 优先级 |
|-------------|--------|----------|
| 1. 网络安全控制 | [状态] | [优先级] |
| 2. 安全配置 | [状态] | [优先级] |
| ... | ... | ... |
| 12. 安全策略 | [状态] | [优先级] |

---

## 范围评估

### 持卡人数据流
```mermaid
flowchart LR
    客户 --> 网站 --> 支付API --> 处理器
```

### CDE边界

| 系统 | 在范围内 | 原因 |
|--------|----------|--------|

### 范围减少机会

| 机会 | 努力 | 影响 | 推荐 |
|-------------|--------|--------|----------------|

---

## SAQ确定

### 推荐SAQ:[类型]

**理由:**
[为什么此SAQ适用]

**资格确认:**

- [ ] 标准1
- [ ] 标准2

---

## 需求评估

### 需求1:网络安全控制

| 子需求 | 描述 | 状态 | 证据 | 差距 |
|---------|-------------|--------|----------|-----|

[对所有12个需求继续]

---

## 差距分析

### 关键差距(阻止合规)

| 差距 | 需求 | 当前状态 | 要求状态 | 截止日期 |
|-----|-------------|---------------|----------------|----------|

### 高优先级差距

| 差距 | 需求 | 当前状态 | 要求状态 |
|-----|-------------|---------------|----------------|

---

## PCI DSS 4.0时间线

| 需求 | 状态 | 截止日期 | 所需行动 |
|-------------|--------|----------|-----------------|

---

## 修复路线图

### 阶段1:关键(阻止合规)

1. [行动,负责人和截止日期]

### 阶段2:高优先级

1. [行动]

### 阶段3:最佳实践

1. [行动]

---

## 验证要求

- [ ] 季度ASV扫描
- [ ] 年度渗透测试
- [ ] 年度SAQ完成
- [ ] [其他要求]