Payment Card Industry Data Security Standard (PCI DSS) to zestaw wytycznych i najlepszych praktyk udostępnianych wszystkim firmom i innym podmiotom, które przetwarzają, przesyłają lub przechowują dane kart kredytowych. Wytyczne te zostały opracowane przez Radę Standardów Bezpieczeństwa PCI (PCI SSC) i mają na celu zapobieganie wyciekom danych i wynikającej z tego kradzieży tożsamości oraz oszustwom związanym z kartami kredytowymi. Zgodność z PCI DSS obejmuje trzy etapy: ocena procesów biznesowych i identyfikacja potencjalnego ryzyka, naprawa tego ryzyka oraz raportowanie działań w zakresie zgodności do odpowiednich banków i innych wystawców kart kredytowych.
Najważniejszą cechą zgodności ze standardem Payment Card Industry Data Security Standard jest stworzenie i utrzymanie bezpiecznej sieci komputerowej. Pomiędzy danymi posiadacza karty a zewnętrznym dostępem do sieci należy zbudować solidną zaporę sieciową. Hasła systemowe powinny być zaimplementowane wraz z innymi środkami bezpieczeństwa w każdym potencjalnym punkcie podatności sieci. Wszystkie dane posiadaczy kart muszą być bezpiecznie przechowywane, a przesyłane w sieciach publicznych muszą być szyfrowane. Bieżące środki obejmują korzystanie z oprogramowania antywirusowego oraz ograniczony fizyczny lub komputerowy dostęp do danych przez personel na podstawie biznesowej wiedzy niezbędnej.
Dostępnych jest wiele narzędzi i usług pomagających organizacjom w radzeniu sobie z PCI DSS. Podczas gdy PCI SSC ustanawia standardy zgodności z PCI, wszystkie główne marki kart kredytowych stworzyły własne standardy dotyczące egzekwowania i zgodności tych standardów, a także procedur weryfikacji kart kredytowych. Każda z tych firm oferuje internetowe i inne wskazówki organizacjom akceptującym ich karty. PCI SSC prowadzi również program, który zatwierdza wykwalifikowanych ekspertów ds. bezpieczeństwa, którzy weryfikują zgodność ze standardem bezpieczeństwa danych branży kart płatniczych. Organizacjom, które same oceniają swoją zgodność, PCI SSC udostępnia narzędzia walidacji zwane Kwestionariuszami Samooceny w kilku formach, z których każda jest dostosowana do określonych środowisk biznesowych.
Kluczową przesłanką zgodności ze standardem Payment Card Industry Data Security Standard jest przechowywanie tylko tych danych kart kredytowych, które są niezbędne dla potrzeb organizacji. Przechowywane dane powinny podlegać ograniczeniom czasowym, a dane uwierzytelniające transakcje nigdy nie powinny być przechowywane. Wszystkie numery kont i inne wrażliwe dane przesyłane w sieciach publicznych muszą być częściowo zamaskowane.
Inne bieżące środki PCI DSS obejmują tworzenie i utrzymywanie programu zarządzania podatnościami, który tworzy bezpieczne aplikacje i programy. Wymagane jest również rutynowe monitorowanie i testowanie sieci w celu zidentyfikowania słabych punktów. Każda organizacja musi również utrzymywać i rozpowszechniać pisemną politykę bezpieczeństwa dla całego personelu.