Jaki jest standard bezpieczeństwa danych w branży płatności?
Standard bezpieczeństwa danych w branży płatności (PCI DSS) to zestaw wytycznych i najlepszych praktyk dostarczonych wszystkim firmom i innym podmiotom, które przetwarzają, przesyłają lub przechowują dane karty kredytowej. Wytyczne te zostały opracowane przez PCI Security Standards Council (PCI SSC) i mają na celu zapobieganie wyciekom danych i wynikającym z tego kradzieży tożsamości i oszustw kart kredytowych. Istnieją trzy trwające fazy związane z przestrzeganiem PCI DS: ocena procesów biznesowych i identyfikacja potencjalnych zagrożeń, naprawianie tych zagrożeń oraz zgłaszanie wysiłków zgodności dla odpowiednich banków i innych emitentów kart kredytowych.
Paramount in Card Payment Industry Security Standardowa zgodność to tworzenie i konserwacja bezpiecznej sieci komputerowej. Należy zbudować solidną zaporę ogniową między danymi posiadacza karty a zewnętrznym dostępem do sieci. Hasła systemowe powinny być wdrażane wraz z innymi miarami bezpieczeństwa w każdym potencjalnym punkcie podatności na sieci. Cały posiadacz kartyDane muszą być bezpiecznie przechowywane, a po przesyłaniu w sieci publicznych muszą być zaszyfrowane. Bieżące środki obejmują stosowanie oprogramowania antywirusowego oraz ograniczony fizyczny lub komputerowy dostęp do danych przez personel na zasadzie biznesowej.
Istnieje wiele narzędzi i usług, które pomogą organizacjom w kontaktach z PCI DS. Podczas gdy PCI SSC ustanawia standardy zgodności z PCI, wszystkie główne marki kart kredytowych stworzyły własne standardy w zakresie egzekwowania i zgodności tych standardów, a także procedurów sprawdzania poprawności kart kredytowych. Każda z tych firm oferuje online i inne wskazówki dla organizacji, które akceptują swoje karty. PCI SSC prowadzi również program, który zatwierdza wykwalifikowanych asesorów bezpieczeństwa, którzy potwierdzają zgodność ze standardem bezpieczeństwa danych w branży płatności. Dla organizacji, które samoocenią ich zgodność,PCI SSC zapewnia narzędzia walidacyjne zwane kwestionariuszami samooceny w kilku formach, z których każda dostosowana do określonych środowisk biznesowych.
Kluczową przesłanką polegającą na przestrzeganiu standardu bezpieczeństwa danych w branży płatności jest przechowywanie tylko danych karty kredytowej, które są niezbędne dla potrzeb organizacji. Przechowywane dane powinny być poddawane ograniczeniom czasowym, a dane uwierzytelniania transakcji nigdy nie powinny być przechowywane. Wszystkie numery kont i inne poufne dane przesyłane w sieciach publicznych muszą być częściowo zamaskowane.
Inne trwające środki PCI DSS obejmują tworzenie i utrzymanie programu zarządzania podatnością, który tworzy bezpieczne aplikacje i programy. Wymagane są również rutynowe monitorowanie i testy sieciowe w celu identyfikacji słabości. Każda organizacja musi również utrzymywać i dystrybuować pisemną politykę bezpieczeństwa wszystkim personelowi.