Wat is de standaard voor gegevensbeveiliging van de betaalkaartsector?
De Payment Card Industry Data Security Standard (PCI DSS) is een set richtlijnen en best practices voor alle bedrijven en andere entiteiten die creditcardgegevens verwerken, verzenden of opslaan. Deze richtlijnen zijn ontwikkeld door de PCI Security Standards Council (PCI SSC) en zijn bedoeld om datalekken en resulterende identiteitsdiefstal en creditcardfraude te voorkomen. Er zijn drie lopende fasen bij het naleven van de PCI DSS: beoordeling van bedrijfsprocessen en identificatie van potentiële risico's, herstel van die risico's en rapportage van compliance-inspanningen aan relevante banken en andere creditcarduitgevers.
Paramount in Payment Card Industry Data Security Standaard compliance is het creëren en onderhouden van een veilig computernetwerk. Er moet een robuuste firewall worden gebouwd tussen gegevens van kaarthouders en externe toegang tot het netwerk. Systeemwachtwoorden moeten worden geïmplementeerd samen met andere beveiligingsmaatregelen op elk potentieel punt van netwerkkwetsbaarheid. Alle gegevens van de kaarthouder moeten veilig worden opgeslagen en bij verzending via openbare netwerken moeten ze worden gecodeerd. Lopende maatregelen omvatten het gebruik van antivirussoftware en beperkte fysieke of computertoegang tot gegevens door personeel op een zakelijke need-to-know-basis.
Er zijn tal van hulpmiddelen en diensten beschikbaar om organisaties te helpen bij het omgaan met de PCI DSS. Terwijl de PCI SSC de normen voor PCI-naleving vaststelt, hebben alle grote creditcardmerken hun eigen normen opgesteld met betrekking tot de handhaving en naleving van die normen, evenals creditcardvalidatieprocedures. Elk van deze bedrijven biedt online en andere begeleiding aan organisaties die hun kaarten accepteren. De PCI SSC beheert ook een programma dat gekwalificeerde beveiligingsdeskundigen goedkeurt die de naleving van de Payment Card Industry Data Security Standard valideren. Voor organisaties die zelf hun compliance beoordelen, biedt de PCI SSC validatietools genaamd Self-Assessment Questionnaires in verschillende vormen, elk afgestemd op specifieke bedrijfsomgevingen.
Een belangrijk uitgangspunt bij het naleven van de Payment Card Industry Data Security Standard is om alleen creditcardgegevens op te slaan die essentieel zijn voor de behoeften van de organisatie. Opgeslagen gegevens moeten worden onderworpen aan tijdslimieten en transactie-authenticatiegegevens mogen nooit worden opgeslagen. Alle rekeningnummers en andere gevoelige gegevens die via openbare netwerken worden verzonden, moeten gedeeltelijk worden gemaskeerd.
Andere lopende PCI DSS-maatregelen omvatten het maken en onderhouden van een kwetsbaarheidsbeheerprogramma dat veilige toepassingen en programma's creëert. Routinematige monitoring en netwerktests om zwakke punten te identificeren zijn ook vereist. Elke organisatie moet ook een schriftelijk beveiligingsbeleid onderhouden en verspreiden onder al het personeel.