Vad är betalkortsbranschens datasäkerhetsstandard?
Betalningskortsindustrins datasäkerhetsstandard (PCI DSS) är en uppsättning riktlinjer och bästa praxis som tillhandahålls till alla företag och andra enheter som bearbetar, sänder eller lagrar kreditkortsdata. Dessa riktlinjer utvecklades av PCI Security Standards Council (PCI SSC) och är avsedda att förhindra dataläckar och resulterande identitetsstöld och kreditkortsbedrägeri. Det finns tre pågående faser involverade i att följa PCI DSS: Bedömning av affärsprocesser och identifiering av potentiella risker, sanering av dessa risker och rapporterar efterlevnadsinsatser till relevanta banker och andra kreditkortsutgivare.
Paramount i betalningskortsindustrins datasäkerhetsstandardöverensstämmelse är skapandet och underhållet av ett säkert datornätverk. En robust brandvägg måste konstrueras mellan kortinnehavare och extern åtkomst till nätverket. Systemlösenord bör implementeras tillsammans med andra säkerhetsåtgärder vid varje potentiell punkt i nätverkssårbarhet. Alla kortinnehavareData måste lagras säkert, och när de överförs över offentliga nätverk måste de krypteras. Pågående åtgärder inkluderar användning av antivirusprogramvara och begränsad fysisk eller datoråtkomst till data från personal på affärsbehov.
Det finns många verktyg och tjänster tillgängliga för att hjälpa organisationer att hantera PCI DSS. Medan PCI SSC fastställer standarderna för PCI -överensstämmelse, har alla större kreditkortsmärken skapat sina egna standarder med avseende på verkställighet och efterlevnad av dessa standarder samt kreditkortsvalideringsförfaranden. Var och en av dessa företag erbjuder online och annan vägledning till organisationer som accepterar sina kort. PCI SSC driver också ett program som godkänner kvalificerade säkerhetsbedömare som validerar överensstämmelse med datasäkerhetsstandarden för betalningskort. För organisationer som själv bedömer deras efterlevnad,PCI SSC tillhandahåller valideringsverktyg som kallas självbedömningsfrågeformulär i flera former, var och en skräddarsydd efter specifika affärsmiljöer.
En viktig premiss när det gäller att följa betalningskortsbranschens datasäkerhetsstandard är att bara lagra kreditkortsdata som är avgörande för organisationens behov. Lagrade data bör underkastas tidsgränser och transaktionsautentiseringsdata bör aldrig lagras. Alla kontonummer och annan känslig information som överförs på offentliga nätverk måste delvis maskeras.
Andra pågående PCI DSS -åtgärder inkluderar skapande och underhåll av ett sårbarhetshanteringsprogram som skapar säkra applikationer och program. Rutinmonövervakning och nätverkstest för att identifiera svagheter krävs också. Varje organisation måste också upprätthålla och distribuera en skriftlig säkerhetspolicy till all personal.