Jaký je standard pro zabezpečení dat v oblasti platebních karet?
Standard pro zabezpečení dat v oblasti platebních karet (PCI DSS) je sada pokynů a osvědčených postupů poskytovaných všem podnikům a dalším subjektům, které zpracovávají, přenášejí nebo ukládají data kreditní karty. Tyto pokyny byly vyvinuty Radou pro bezpečnostní standardy PCI (PCI SSC) a mají za cíl zabránit únikům dat a výsledným podvodům s krádeží identity a podvodům s kreditními kartami. Při dodržování PCI DSS jsou zapojeny tři probíhající fáze: posouzení obchodních procesů a identifikace potenciálních rizik, nápravu těchto rizik a vykazování úsilí o dodržování předpisů příslušným bankám a jiným vydavatelům kreditních karet.
Paramount in Platent Card Industry Data Security Standard Compliance je vytvoření a údržba zabezpečené počítačové sítě. Mezi daty držitelů karet musí být vytvořena robustní brána firewall a externím přístupem k síti. Systémová hesla by měla být implementována spolu s dalšími bezpečnostními opatřeními v každém potenciálním bodě zranitelnosti sítě. Všichni držitel kartyData musí být bezpečně uložena a při přenosu napříč veřejnými sítěmi musí být šifrována. Mezi probíhající opatření patří použití antivirového softwaru a omezený fyzický nebo počítačový přístup k datům personálem na základě obchodních potřeb.
Existuje mnoho nástrojů a služeb, které pomáhají organizacím při jednání s PCI DSS. Zatímco PCI SSC stanoví standardy pro dodržování PCI, všechny hlavní značky kreditních karet vytvořily své vlastní standardy s ohledem na vymáhání a dodržování těchto standardů a postupy ověřování kreditní karty. Každá z těchto společností nabízí online a další pokyny organizacím, které přijímají jejich karty. PCI SSC také provozuje program, který schvaluje kvalifikované hodnotitele zabezpečení, kteří ověřují soulad se standardem bezpečnosti dat v průmyslu platebních karet. Pro organizace, které sebe sama posouvají dodržování předpisů,PCI SSC poskytuje validační nástroje nazývané dotazníky pro sebehodnocení v několika formách, z nichž každá je přizpůsobena konkrétním obchodním prostředí.
Klíčovým předpokladem v souladu s dodržováním standardu pro zabezpečení dat v oblasti platebních karet je ukládání údajů o kreditní kartě, která jsou nezbytná pro potřeby organizace. Uložená data by měla být podrobena časovým limitům a údaje o autentizaci transakcí by nikdy neměly být uloženy. Všechna čísla účtů a další citlivá data, která jsou přenášena ve veřejných sítích, musí být částečně maskována.
Další probíhající opatření PCI DSS zahrnují vytvoření a údržbu programu správy zranitelnosti, který vytváří zabezpečené aplikace a programy. Vyžaduje se také rutinní monitorování a testování sítě pro identifikaci slabostí. Každá organizace musí také udržovat a distribuovat písemnou bezpečnostní politiku všem zaměstnancům.