Το Πρότυπο Ασφάλειας Δεδομένων της Βιομηχανίας Καρτών Πληρωμών (PCI DSS) είναι ένα σύνολο οδηγιών και βέλτιστων πρακτικών που παρέχονται σε όλες τις επιχειρήσεις και άλλες οντότητες που επεξεργάζονται, μεταδίδουν ή αποθηκεύουν δεδομένα πιστωτικών καρτών. Αυτές οι κατευθυντήριες γραμμές αναπτύχθηκαν από το Συμβούλιο Προτύπων Ασφαλείας PCI (PCI SSC) και προορίζονται να αποτρέψουν διαρροές δεδομένων και ως αποτέλεσμα κλοπή ταυτότητας και απάτη πιστωτικών καρτών. Υπάρχουν τρεις συνεχείς φάσεις για τη συμμόρφωση με το PCI DSS: αξιολόγηση των επιχειρηματικών διαδικασιών και προσδιορισμός πιθανών κινδύνων, αποκατάσταση αυτών των κινδύνων και αναφορά των προσπαθειών συμμόρφωσης στις σχετικές τράπεζες και άλλους εκδότες πιστωτικών καρτών.
Η συμμόρφωση με το πρότυπο Paramount in Payment Card Industry Standard Standard είναι η δημιουργία και συντήρηση ασφαλούς δικτύου υπολογιστών. Πρέπει να δημιουργηθεί ένα ισχυρό τείχος προστασίας μεταξύ δεδομένων κατόχου κάρτας και εξωτερικής πρόσβασης στο δίκτυο. Οι κωδικοί πρόσβασης συστήματος θα πρέπει να εφαρμόζονται μαζί με άλλα μέτρα ασφαλείας σε κάθε πιθανό σημείο ευπάθειας δικτύου. Όλα τα δεδομένα των κατόχων καρτών πρέπει να αποθηκεύονται με ασφάλεια και όταν διαβιβάζονται σε δημόσια δίκτυα, πρέπει να είναι κρυπτογραφημένα. Τα τρέχοντα μέτρα περιλαμβάνουν τη χρήση λογισμικού προστασίας από ιούς και την περιορισμένη πρόσβαση φυσικών ή ηλεκτρονικών υπολογιστών στα δεδομένα από προσωπικό από επιχειρηματική ανάγκη.
Υπάρχουν πολλά διαθέσιμα εργαλεία και υπηρεσίες για να βοηθήσουν τους οργανισμούς στην αντιμετώπιση του PCI DSS. Ενώ το PCI SSC θεσπίζει τα πρότυπα για τη συμμόρφωση με PCI, όλες οι μεγάλες μάρκες πιστωτικών καρτών έχουν δημιουργήσει τα δικά τους πρότυπα όσον αφορά την επιβολή και τη συμμόρφωση αυτών των προτύπων καθώς και τις διαδικασίες επικύρωσης πιστωτικών καρτών. Κάθε μία από αυτές τις εταιρείες προσφέρει διαδικτυακές και άλλες οδηγίες σε οργανισμούς που δέχονται τις κάρτες τους. Το PCI SSC λειτουργεί επίσης ένα πρόγραμμα που εγκρίνει πιστοποιημένους αξιολογητές ασφαλείας που επικυρώνουν τη συμμόρφωση με το πρότυπο ασφάλειας δεδομένων της βιομηχανίας καρτών πληρωμής. Για τους οργανισμούς που αυτοαξιολογούν τη συμμόρφωσή τους, το PCI SSC παρέχει εργαλεία επικύρωσης που ονομάζονται ερωτηματολόγια αυτοαξιολόγησης σε διάφορες μορφές, το καθένα προσαρμοσμένο σε συγκεκριμένα επιχειρηματικά περιβάλλοντα.
Βασική προϋπόθεση για τη συμμόρφωση με το Πρότυπο ασφάλειας δεδομένων της βιομηχανίας καρτών πληρωμής είναι να αποθηκεύετε μόνο δεδομένα πιστωτικών καρτών που είναι απαραίτητα για τις ανάγκες του οργανισμού. Τα αποθηκευμένα δεδομένα πρέπει να υπόκεινται σε χρονικά όρια και τα δεδομένα ελέγχου ταυτότητας συναλλαγών δεν πρέπει ποτέ να αποθηκεύονται. Όλοι οι αριθμοί λογαριασμών και άλλα ευαίσθητα δεδομένα που διαβιβάζονται σε δημόσια δίκτυα πρέπει να καλύπτονται εν μέρει.
Άλλα συνεχή μέτρα PCI DSS περιλαμβάνουν τη δημιουργία και τη συντήρηση ενός προγράμματος διαχείρισης ευπάθειας που δημιουργεί ασφαλείς εφαρμογές και προγράμματα. Απαιτείται επίσης τακτική παρακολούθηση και έλεγχος δικτύου για τον εντοπισμό αδυναμιών. Κάθε οργανισμός πρέπει επίσης να διατηρεί και να διανέμει μια γραπτή πολιτική ασφαλείας σε όλο το προσωπικό.
SmartAsset.