Hva er standard for sikkerhetsdata for betalingskort?
Betalingskortindustriens sikkerhetsstandard (PCI DSS) er et sett med retningslinjer og beste praksis gitt til alle virksomheter og andre enheter som behandler, overfører eller lagrer kredittkortdata. Disse retningslinjene ble utviklet av PCI Security Standards Council (PCI SSC) og er ment å forhindre datalekkasjer og resulterende identitetstyveri og kredittkortsvindel. Det er tre pågående faser involvert i å etterkomme PCI DSS: vurdering av forretningsprosesser og identifisering av potensielle risikoer, utbedring av disse risikoene og rapportering av samsvarstiltak til relevante banker og andre kredittkortutstedere.
Paramount for Payment Card Industry Data Security Standard samsvar er opprettelse og vedlikehold av et sikkert datanettverk. Det må konstrueres en robust brannmur mellom kortholderdata og ekstern tilgang til nettverket. Systempassord bør implementeres sammen med andre sikkerhetstiltak på ethvert potensielt punkt med nettverkssårbarhet. Alle kortholderdata må lagres sikkert, og når de overføres over offentlige nettverk, må de være kryptert. Pågående tiltak inkluderer bruk av antivirusprogramvare og begrenset fysisk eller datamaskintilgang til data fra personell på forretningsbehov.
Det er mange verktøy og tjenester som er tilgjengelige for å hjelpe organisasjoner med å håndtere PCI DSS. Mens PCI SSC etablerer standardene for PCI-overholdelse, har alle de største kredittkortmerkene laget sine egne standarder med hensyn til håndhevelse og etterlevelse av disse standardene, samt prosedyrer for kredittkortvalidering. Hvert av disse selskapene tilbyr online og annen veiledning til organisasjoner som godtar kortene sine. PCI SSC driver også et program som godkjenner kvalifiserte sikkerhetsvurderinger som validerer overholdelse av betalingskortindustriens datasikkerhetsstandard. For organisasjoner som selvvurderer samsvaret sitt, tilbyr PCI SSC valideringsverktøy kalt Selvvurderingsspørreskjemaer i flere former, hver skreddersydd til spesifikke forretningsmiljøer.
Et sentralt premiss i å overholde Payment Card Industry Data Security Standard er bare å lagre kredittkortdata som er avgjørende for organisasjonens behov. Lagrede data skal underlegges tidsbegrensninger og transaksjonsautentiseringsdata skal aldri lagres. Alle kontonumre og andre sensitive data som overføres i offentlige nettverk må delvis maskeres.
Andre pågående PCI DSS-tiltak inkluderer oppretting og vedlikehold av et sårbarhetsstyringsprogram som lager sikre applikasjoner og programmer. Rutinemessig overvåking og nettverkstesting for å identifisere svakheter er også nødvendig. Hver organisasjon må også opprettholde og distribuere en skriftlig sikkerhetspolicy til alt personell.