Стандарт безопасности данных индустрии платежных карт (PCI DSS) представляет собой набор руководящих принципов и передовых методов, предоставляемых всем предприятиям и другим организациям, которые обрабатывают, передают или хранят данные кредитных карт. Эти рекомендации были разработаны Советом по стандартам безопасности PCI (PCI SSC) и предназначены для предотвращения утечек данных и, как следствие, кражи личных данных и мошенничества с кредитными картами. В соответствии с PCI DSS проводится три этапа: оценка бизнес-процессов и выявление потенциальных рисков, устранение этих рисков и информирование соответствующих банков и других эмитентов кредитных карт об их соблюдении.

Первостепенное значение в индустрии безопасности платежных карт Соответствие стандарту - это создание и обслуживание защищенной компьютерной сети. Надежный межсетевой экран должен быть построен между данными держателя карты и внешним доступом к сети. Системные пароли должны быть реализованы вместе с другими мерами безопасности на каждой потенциальной точке сетевой уязвимости. Все данные держателя карты должны храниться в безопасном месте, а при передаче через общедоступные сети они должны быть зашифрованы. Текущие меры включают использование антивирусного программного обеспечения и ограниченный физический или компьютерный доступ к данным со стороны персонала по служебной необходимости.

Существует множество инструментов и сервисов, которые могут помочь организациям справиться с PCI DSS. В то время как PCI SSC устанавливает стандарты для соответствия PCI, все основные бренды кредитных карт создали свои собственные стандарты в отношении применения и соблюдения этих стандартов, а также процедур проверки кредитных карт. Каждая из этих компаний предлагает онлайн и другие рекомендации для организаций, которые принимают их карты. PCI SSC также управляет программой, которая одобряет квалифицированных оценщиков безопасности, которые проверяют соответствие стандарту безопасности данных индустрии платежных карт. Для организаций, которые самостоятельно оценивают свое соответствие, PCI SSC предоставляет инструменты проверки, которые называются «Анкеты самооценки», в нескольких формах, каждая из которых предназначена для конкретной бизнес-среды.

Основным условием соблюдения Стандарта безопасности данных индустрии платежных карт является хранение только тех данных кредитных карт, которые необходимы для удовлетворения потребностей организации. Сохраненные данные должны подвергаться ограничениям по времени, и данные аутентификации транзакций никогда не должны храниться. Все номера счетов и другие конфиденциальные данные, передаваемые в общедоступных сетях, должны быть частично замаскированы.

Другие текущие меры PCI DSS включают в себя создание и обслуживание программы управления уязвимостями, которая создает безопасные приложения и программы. Также требуется регулярный мониторинг и тестирование сети для выявления слабых мест. Каждая организация также должна поддерживать и распространять письменную политику безопасности среди всего персонала.