Hvad er standard for sikkerhedsdata for betalingskort?
Betalingskortindustriens sikkerhedsstandard (PCI DSS) er et sæt retningslinjer og bedste praksis, der leveres til alle virksomheder og andre enheder, der behandler, transmitterer eller gemmer kreditkortdata. Disse retningslinjer er udviklet af PCI Security Standards Council (PCI SSC) og er beregnet til at forhindre datalækager og deraf følgende identitetstyveri og kreditkortsvindel. Der er tre igangværende faser involveret i at overholde PCI DSS: vurdering af forretningsprocesser og identifikation af potentielle risici, afhjælpning af disse risici og rapportering af overholdelsesbestræbelser til relevante banker og andre kreditkortudstedere.
Paramount for betalingskortsektoren Datasikkerhed Standardoverholdelse er oprettelse og vedligeholdelse af et sikkert computernetværk. Der skal konstrueres en robust firewall mellem kortholderdata og ekstern adgang til netværket. Systemadgangskoder skal implementeres sammen med andre sikkerhedsforanstaltninger på ethvert potentielt punkt i netværkssårbarhed. Alle kortholderdata skal opbevares sikkert, og når de transmitteres over offentlige netværk, skal de krypteres. Løbende foranstaltninger inkluderer brugen af antivirussoftware og begrænset fysisk eller computeradgang til data fra personale på forretningsgrundlag.
Der er adskillige værktøjer og tjenester til rådighed for at hjælpe organisationer med at håndtere PCI DSS. Mens PCI SSC opretter standarderne for PCI-overholdelse, har alle de største kreditkortmærker oprettet deres egne standarder med hensyn til håndhævelse og overholdelse af disse standarder samt kreditkortvalideringsprocedurer. Hver af disse virksomheder tilbyder online og anden vejledning til organisationer, der accepterer deres kort. PCI SSC driver også et program, der godkender kvalificerede sikkerhedsvurderinger, der validerer overholdelse af betalingskortindustriens datasikkerhedsstandard. For organisationer, der selvvurderer deres overholdelse, leverer PCI SSC valideringsværktøjer kaldet Selvvurderingsspørgeskemaer i flere former, hver skræddersyet til specifikke forretningsmiljøer.
En vigtig forudsætning for at overholde betalingskortindustriens sikkerhedsstandard er kun at gemme kreditkortdata, der er væsentlige for organisationens behov. Lagrede data skal underkastes tidsbegrænsninger, og transaktionsgodkendelsesdata bør aldrig gemmes. Alle kontonumre og andre følsomme data, der transmitteres på offentlige netværk, skal delvis maskeres.
Andre igangværende PCI DSS-foranstaltninger inkluderer oprettelse og vedligeholdelse af et sårbarhedsstyringsprogram, der skaber sikre applikationer og programmer. Rutinemæssig overvågning og netværkstest for at identificere svagheder er også påkrævet. Hver organisation skal også vedligeholde og distribuere en skriftlig sikkerhedspolitik til alt personale.