Co je standard zabezpečení údajů o platebních kartách?
Standard zabezpečení údajů o platebních kartách (PCI DSS) je sada pokynů a osvědčených postupů poskytovaných všem podnikům a dalším subjektům, které zpracovávají, přenášejí nebo ukládají údaje o kreditních kartách. Tyto pokyny byly vyvinuty Radou pro bezpečnostní standardy PCI (PCI SSC) a jejich účelem je zabránit únikům dat a následným krádežím identity a podvodům s kreditními kartami. Při plnění požadavků PCI DSS probíhají tři fáze: hodnocení obchodních procesů a identifikace potenciálních rizik, náprava těchto rizik a hlášení úsilí o dodržování předpisů příslušným bankám a jiným vydavatelům kreditních karet.
Zabezpečení dat v odvětví platebních karet Standardním standardem je vytvoření a údržba zabezpečené počítačové sítě. Mezi daty držitelů karet a externím přístupem do sítě musí být vytvořen robustní firewall. Systémová hesla by měla být implementována spolu s dalšími bezpečnostními opatřeními v každém potenciálním bodě zranitelnosti sítě. Všechna data držitelů karet musí být bezpečně uložena a při přenosu ve veřejných sítích musí být šifrována. Probíhající opatření zahrnují použití antivirového softwaru a omezený fyzický nebo počítačový přístup k údajům ze strany zaměstnanců na základě podnikové potřeby vědět.
Existuje řada nástrojů a služeb, které pomáhají organizacím při řešení PCI DSS. Zatímco PCI SSC stanoví standardy pro dodržování PCI, všechny hlavní značky kreditních karet vytvořily své vlastní standardy, pokud jde o vymáhání a dodržování těchto standardů a postupy pro ověřování kreditních karet. Každá z těchto společností nabízí online a další pokyny organizacím, které přijímají jejich karty. PCI SSC také provozuje program, který schvaluje kvalifikované posuzovatele bezpečnosti, kteří ověřují shodu s bezpečnostním standardem pro průmyslová data platebních karet. Pro organizace, které samy hodnotí jejich shodu, poskytuje PCI SSC validační nástroje nazývané dotazníky pro sebehodnocení v několika formách, z nichž každá je přizpůsobena specifickým podnikovým prostředím.
Klíčovým předpokladem při dodržování standardu Security Data Industry Standard Security je ukládat pouze údaje o kreditní kartě, které jsou nezbytné pro potřeby organizace. Na uložená data by se mělo vztahovat časové omezení a nikdy by neměla být ukládána data pro ověření transakce. Všechna čísla účtů a další citlivá data přenášená ve veřejných sítích musí být částečně maskována.
Mezi další probíhající opatření PCI DSS patří vytvoření a údržba programu správy zranitelností, který vytváří zabezpečené aplikace a programy. Vyžaduje se také rutinní monitorování a testování sítě k identifikaci slabých stránek. Každá organizace musí také udržovat a distribuovat písemnou bezpečnostní politiku všem zaměstnancům.