Standard za varnost podatkov industrije plačilnih kartic (PCI DSS) je niz smernic in najboljših praks, ki so na voljo vsem podjetjem in drugim subjektom, ki obdelujejo, prenašajo ali shranjujejo podatke o kreditnih karticah. Te smernice je razvil Svet za varnostne standarde PCI (PCI SSC) in so namenjene preprečevanju uhajanja podatkov in posledično kraje identitete in goljufij s kreditnimi karticami. Pri usklajevanju s PCI DSS so v teku tri faze: ocena poslovnih procesov in identifikacija možnih tveganj, sanacija teh tveganj in poročanje o prizadevanjih za skladnost ustreznim bankam in drugim izdajateljem kreditnih kartic.
Najpomembnejše v industriji plačilnih kartic Skladnost s standardom varnosti podatkov je ustvarjanje in vzdrževanje varnega računalniškega omrežja. Med podatki o imetniku kartice in zunanjim dostopom do omrežja je treba zgraditi robusten požarni zid. Sistemska gesla je treba uvesti skupaj z drugimi varnostnimi ukrepi na vsaki možni točki ranljivosti omrežja. Vsi podatki o imetniku kartice morajo biti varno shranjeni, pri prenosu po javnih omrežjih pa morajo biti šifrirani. Stalni ukrepi vključujejo uporabo protivirusne programske opreme in omejen fizični ali računalniški dostop osebja do podatkov na podlagi poslovne potrebe.
Na voljo so številna orodja in storitve za pomoč organizacijam pri soočanju s PCI DSS. Medtem ko PCI SSC vzpostavlja standarde za skladnost s PCI, so vse glavne blagovne znamke kreditnih kartic ustvarile lastne standarde v zvezi z uveljavljanjem in skladnostjo teh standardov ter postopke validacije kreditnih kartic. Vsako od teh podjetij ponuja spletne in druge smernice organizacijam, ki sprejemajo njihove kartice. PCI SSC izvaja tudi program, ki odobri kvalificirane varnostne ocenjevalce, ki potrjujejo skladnost s standardom za varnost podatkov industrije plačilnih kartic. Za organizacije, ki same ocenjujejo svojo skladnost, PCI SSC ponuja orodja za potrjevanje, imenovana vprašalniki za samoocenjevanje, v več oblikah, od katerih je vsaka prilagojena posebnim poslovnim okoljem.
Ključna predpostavka pri izpolnjevanju standarda o varnosti podatkov industrije plačilnih kartic je shranjevanje samo podatkov o kreditnih karticah, ki so bistveni za potrebe organizacije. Za shranjene podatke je treba veljati časovne omejitve, podatki za preverjanje pristnosti transakcij pa se nikoli ne smejo shranjevati. Vse številke računov in drugi občutljivi podatki, ki se prenašajo v javnih omrežjih, morajo biti delno prikriti.
Drugi tekoči ukrepi PCI DSS vključujejo ustvarjanje in vzdrževanje programa za upravljanje ranljivosti, ki ustvarja varne aplikacije in programe. Za odkrivanje pomanjkljivosti sta potrebna tudi rutinsko spremljanje in testiranje omrežja. Vsaka organizacija mora tudi vzdrževati in distribuirati pisno varnostno politiko vsemu osebju.
SmartAsset.