Co to jest standard bezpieczeństwa danych w branży kart płatniczych?
Przemysłowy standard bezpieczeństwa danych kart płatniczych (PCI DSS) to zbiór wytycznych i najlepszych praktyk, które są przekazywane wszystkim firmom i innym podmiotom przetwarzającym, przesyłającym lub przechowującym dane kart kredytowych. Wytyczne te zostały opracowane przez PCI Security Standards Council (PCI SSC) i mają na celu zapobieganie wyciekom danych oraz wynikającej z tego kradzieży tożsamości i oszustw związanych z kartami kredytowymi. Istnieją trzy etapy związane z przestrzeganiem standardu PCI DSS: ocena procesów biznesowych i identyfikacja potencjalnego ryzyka, zaradzenie tym ryzykom oraz zgłaszanie wysiłków związanych ze zgodnością odpowiednich banków i innych wydawców kart kredytowych.
Najważniejsze w branży kart płatniczych Zgodność ze standardami bezpieczeństwa danych to stworzenie i utrzymanie bezpiecznej sieci komputerowej. Należy zbudować solidną zaporę między danymi posiadacza karty a zewnętrznym dostępem do sieci. Hasła systemowe powinny być wdrażane wraz z innymi środkami bezpieczeństwa w każdym potencjalnym punkcie podatności sieci. Wszystkie dane posiadaczy kart muszą być bezpiecznie przechowywane, a gdy są przesyłane przez sieci publiczne, muszą być szyfrowane. Bieżące środki obejmują korzystanie z oprogramowania antywirusowego oraz ograniczony fizyczny lub komputerowy dostęp do danych przez personel w oparciu o potrzeby biznesowe.
Dostępnych jest wiele narzędzi i usług pomagających organizacjom w radzeniu sobie z PCI DSS. Chociaż PCI SSC ustanawia standardy zgodności PCI, wszystkie główne marki kart kredytowych stworzyły własne standardy w zakresie egzekwowania i zgodności z tymi standardami, a także procedur weryfikacji karty kredytowej. Każda z tych firm oferuje internetowe i inne wskazówki dla organizacji, które akceptują ich karty. PCI SSC prowadzi także program, który zatwierdza wykwalifikowanych asesorów bezpieczeństwa, którzy potwierdzają zgodność ze standardem bezpieczeństwa danych branżowych kart płatniczych. Dla organizacji, które samodzielnie oceniają swoją zgodność, PCI SSC zapewnia narzędzia sprawdzające zwane Kwestionariuszami samooceny w różnych formach, z których każda jest dostosowana do określonych środowisk biznesowych.
Kluczowym założeniem w zakresie zgodności ze standardem bezpieczeństwa danych branżowych dotyczących kart płatniczych jest przechowywanie tylko tych danych kart kredytowych, które są niezbędne dla potrzeb organizacji. Przechowywane dane powinny podlegać ograniczeniom czasowym, a dane uwierzytelniające transakcje nigdy nie powinny być przechowywane. Wszystkie numery kont i inne poufne dane przesyłane w sieciach publicznych muszą być częściowo maskowane.
Inne bieżące środki PCI DSS obejmują utworzenie i utrzymanie programu do zarządzania podatnością, który tworzy bezpieczne aplikacje i programy. Wymagane są również rutynowe monitorowanie i testowanie sieci w celu wykrycia słabych punktów. Każda organizacja musi także utrzymywać i rozpowszechniać pisemną politykę bezpieczeństwa wśród wszystkich pracowników.