Vad är standard för säkerhet för betalningskortsindustri?
Betalkortbranschens datasäkerhetsstandard (PCI DSS) är en uppsättning riktlinjer och bästa praxis som tillhandahålls till alla företag och andra enheter som bearbetar, överför eller lagrar kreditkortsdata. Dessa riktlinjer har utvecklats av PCI Security Standards Council (PCI SSC) och är avsedda att förhindra dataläckage och resulterande identitetsstöld och kreditkortsbedrägerier. Det finns tre pågående faser involverade i att följa PCI DSS: bedömning av affärsprocesser och identifiering av potentiella risker, sanering av dessa risker och rapportering av efterlevnadsinsatser till relevanta banker och andra kreditkortsutgivare.
Paramount i Payment Card Industry Data Security Standard efterlevnad är skapandet och underhållet av ett säkert datornätverk. En robust brandvägg måste konstrueras mellan korthållardata och extern åtkomst till nätverket. Systemlösenord bör implementeras tillsammans med andra säkerhetsåtgärder vid varje potentiell punkt i nätverkssårbarhet. All korthållareinformation måste lagras säkert och när den överförs över offentliga nätverk måste den krypteras. Pågående åtgärder inkluderar användning av antivirusprogramvara och begränsad fysisk eller datoråtkomst till data av personal på affärsmässigt behov av att veta.
Det finns många verktyg och tjänster tillgängliga för att hjälpa organisationer att hantera PCI DSS. Medan PCI SSC fastställer standarderna för PCI-efterlevnad, har alla större kreditkortsmärken skapat sina egna standarder med avseende på efterlevnad och efterlevnad av dessa standarder samt kreditkortsvalideringsförfaranden. Var och en av dessa företag erbjuder online och annan vägledning till organisationer som accepterar sina kort. PCI SSC driver också ett program som godkänner kvalificerade säkerhetsbedömare som validerar överensstämmelse med betalningskortsindustrins datasäkerhetsstandard. För organisationer som självutvärderar deras efterlevnad tillhandahåller PCI SSC valideringsverktyg som kallas självbedömningsfrågeformulär i flera former, vardera anpassade till specifika affärsmiljöer.
En viktig förutsättning för att följa betalningskortsindustrins datasäkerhetsstandard är att bara lagra kreditkortsdata som är avgörande för organisationens behov. Lagrade data ska underkastas tidsgränser och transaktionsautentiseringsdata ska aldrig lagras. Alla kontonummer och annan känslig information som överförs på offentliga nätverk måste delvis maskeras.
Andra pågående PCI DSS-åtgärder inkluderar skapande och underhåll av ett sårbarhetshanteringsprogram som skapar säkra applikationer och program. Rutinmässig övervakning och nätverkstest för att identifiera svagheter krävs också. Varje organisation måste också upprätthålla och distribuera en skriftlig säkerhetspolicy till all personal.