Ödeme Kartı Endüstri Veri Güvenliği Standardı (PCI DSS), tüm işletmelere ve kredi kartı verilerini işleyen, ileten veya saklayan diğer işletmelere sağlanan bir dizi kılavuz ve en iyi uygulamalardır. Bu kurallar, PCI Güvenlik Standartları Konseyi (PCI SSC) tarafından geliştirilmiştir ve veri sızmalarını ve bunun sonucunda kimlik hırsızlığı ve kredi kartı sahtekarlığını önlemeyi amaçlar. PCI DSS'ye uyum konusunda devam eden üç aşama vardır: iş süreçlerinin değerlendirilmesi ve potansiyel risklerin belirlenmesi, bu risklerin düzeltilmesi ve ilgili bankalara ve diğer kredi kartı verenlere uyumluluk çabalarının bildirilmesi.
Ödeme Kartı Endüstrisi Veri Güvenliğinde Üstünlük Standart uyum, güvenli bir bilgisayar ağının oluşturulması ve bakımıdır. Kart sahibi verileri ile ağa harici erişim arasında sağlam bir güvenlik duvarı oluşturulmalıdır. Sistem parolaları, diğer tüm güvenlik açığı noktalarında diğer güvenlik önlemleriyle birlikte uygulanmalıdır. Tüm kart sahibi verileri güvenli bir şekilde saklanmalı ve ortak ağlar arasında iletildiğinde, şifrelenmelidir. Devam eden önlemler arasında, antivirüs yazılımı kullanımı ve işin bilinmesi gereken bir temelde personel tarafından verilere verilere fiziksel ya da bilgisayar erişiminin kısıtlanması da dahildir.
Kuruluşların PCI DSS ile başa çıkmalarına yardımcı olacak çok sayıda araç ve hizmet vardır. PCI SSC, PCI uygunluğu için standartlar oluştururken, tüm büyük kredi kartı markaları, kredi kartı doğrulama prosedürlerinin yanı sıra bu standartların uygulanması ve uygunluğu ile ilgili kendi standartlarını yarattı. Bu şirketlerin her biri kartlarını kabul eden kuruluşlara çevrimiçi ve diğer rehberlik hizmetleri sunar. PCI SSC ayrıca, Ödeme Kartı Endüstrisi Veri Güvenliği Standardı'na uygunluğu doğrulayan Nitelikli Güvenlik Değerlendiricilerini onaylayan bir program yürütmektedir. Uygunluklarını öz değerlendiren kuruluşlar için, PCI SSC, her biri belirli iş ortamlarına göre uyarlanmış Öz Değerlendirme Anketleri adı verilen doğrulama araçları sağlar.
Ödeme Kartı Sektörü Veri Güvenliği Standardı'na uymada kilit bir öneme sahip olmak, yalnızca kuruluşun ihtiyaçları için gerekli olan kredi kartı verilerini depolamaktır. Saklanan veriler zaman sınırlarına tabi tutulmalı ve işlem doğrulama verileri asla saklanmamalıdır. Tüm hesap numaraları ve ortak ağlarda iletilen diğer hassas veriler kısmen maskelenmelidir.
Devam eden diğer PCI DSS önlemleri arasında güvenli uygulamalar ve programlar oluşturan bir güvenlik açığı yönetim programının oluşturulması ve bakımı yer almaktadır. Ayrıca zayıf yönleri belirlemek için rutin izleme ve ağ testi de gereklidir. Her kuruluş ayrıca tüm personele yazılı bir güvenlik politikası sürdürmeli ve dağıtmalıdır.
