มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) เป็นชุดของแนวทางและแนวทางปฏิบัติที่ดีที่สุดที่มีให้กับทุกธุรกิจและหน่วยงานอื่น ๆ ที่ดำเนินการส่งหรือเก็บข้อมูลบัตรเครดิต แนวทางเหล่านี้ได้รับการพัฒนาโดย PCI Standard Standards Council (PCI SSC) และมีวัตถุประสงค์เพื่อป้องกันการรั่วไหลของข้อมูลและการขโมยข้อมูลประจำตัวและการฉ้อโกงบัตรเครดิต มีสามขั้นตอนอย่างต่อเนื่องที่เกี่ยวข้องกับการปฏิบัติตาม PCI DSS: การประเมินกระบวนการทางธุรกิจและการระบุความเสี่ยงที่อาจเกิดขึ้นการแก้ไขความเสี่ยงเหล่านั้นและการรายงานความพยายามปฏิบัติตามกฎระเบียบต่อธนาคารที่เกี่ยวข้องและผู้ออกบัตรเครดิตอื่น ๆ
สิ่งสำคัญที่สุดในการปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมการชำระเงินคือการสร้างและบำรุงรักษาเครือข่ายคอมพิวเตอร์ที่ปลอดภัย ไฟร์วอลล์ที่มีประสิทธิภาพจะต้องสร้างขึ้นระหว่างข้อมูลผู้ถือบัตรและการเข้าถึงเครือข่ายภายนอก ควรใช้รหัสผ่านระบบพร้อมกับมาตรการรักษาความปลอดภัยอื่น ๆ ในทุกจุดเสี่ยงของเครือข่าย ข้อมูลผู้ถือบัตรทั้งหมดจะต้องจัดเก็บอย่างปลอดภัยและเมื่อส่งผ่านเครือข่ายสาธารณะจะต้องมีการเข้ารหัส มาตรการต่อเนื่องรวมถึงการใช้ซอฟต์แวร์ป้องกันไวรัสและการ จำกัด การเข้าถึงข้อมูลทางกายภาพหรือคอมพิวเตอร์โดยบุคลากรบนพื้นฐานที่จำเป็นต้องรู้ทางธุรกิจ
มีเครื่องมือและบริการมากมายที่จะช่วยองค์กรในการจัดการกับ PCI DSS ในขณะที่ PCI SSC กำหนดมาตรฐานสำหรับการปฏิบัติตาม PCI แต่แบรนด์บัตรเครดิตรายใหญ่ทั้งหมดได้สร้างมาตรฐานของตัวเองขึ้นมาเกี่ยวกับการบังคับใช้และการปฏิบัติตามมาตรฐานเหล่านั้นรวมถึงกระบวนการตรวจสอบบัตรเครดิต บริษัท เหล่านี้แต่ละแห่งเสนอทางออนไลน์และแนวทางอื่น ๆ ให้กับองค์กรที่รับบัตรของตน PCI SSC ยังดำเนินงานโปรแกรมที่อนุมัติผู้ประเมินความปลอดภัยที่ผ่านการรับรองซึ่งตรวจสอบการปฏิบัติตามมาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน สำหรับองค์กรที่ประเมินการปฏิบัติตามกฎระเบียบด้วยตนเอง PCI SSC มีเครื่องมือตรวจสอบความถูกต้องที่เรียกว่าแบบสอบถามการประเมินตนเองในหลายรูปแบบแต่ละแบบได้รับการปรับให้เหมาะกับสภาพแวดล้อมทางธุรกิจที่เฉพาะเจาะจง
หลักฐานสำคัญในการปฏิบัติตามมาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงินคือการจัดเก็บข้อมูลบัตรเครดิตที่จำเป็นสำหรับความต้องการขององค์กรเท่านั้น ข้อมูลที่จัดเก็บควรอยู่ภายใต้การ จำกัด เวลาและข้อมูลการตรวจสอบการทำธุรกรรมไม่ควรถูกจัดเก็บ หมายเลขบัญชีทั้งหมดและข้อมูลที่ละเอียดอ่อนอื่น ๆ ที่ส่งผ่านเครือข่ายสาธารณะจะต้องถูกปิดบังบางส่วน
มาตรการ PCI DSS อื่น ๆ อย่างต่อเนื่องรวมถึงการสร้างและการบำรุงรักษาโปรแกรมการจัดการช่องโหว่ที่สร้างแอปพลิเคชันและโปรแกรมที่ปลอดภัย การตรวจสอบตามปกติและการทดสอบเครือข่ายเพื่อระบุจุดอ่อนก็จำเป็นเช่นกัน แต่ละองค์กรจะต้องรักษาและแจกจ่ายนโยบายความปลอดภัยเป็นลายลักษณ์อักษรให้กับบุคลากรทุกคน
