Payment Card Industry Data Security Standard (PCI DSS) – norma bezpieczeństwa wydana przez Payment Card Industry Security Standards Council. Norma powstała, aby zapewnić wysoki i spójny poziom bezpieczeństwa we wszystkich środowiskach, w których przetwarzane są dane posiadaczy kart płatniczych.
Weryfikacja zgodności
Stosowanie normy jest wymuszane w umowach dwustronnych, które zawierają między sobą:
- przedsiębiorcy akceptujący płatności kartami i centra autoryzacyjne,
- centra autoryzacyjne i organizacje płatnicze (np. Visa, MasterCard).
Dodatkowo, jeśli centrum autoryzacyjne bądź przedsiębiorca korzystają z outsourcingu w zakresie przetwarzania danych posiadaczy kart płatniczych, muszą oni zawrzeć w umowie outsourcingu wymaganie zgodności ze standardem oraz monitorować, czy zgodność z normą jest utrzymywana. Przedsiębiorstwa, które nie wdrożą normy, ryzykują karami umownymi lub nawet całkowitą utratą możliwości akceptowania płatności kartami.
Weryfikacja zgodności organizacji ze standardem odbywa się raz na rok. To, czy weryfikacja będzie przeprowadzana przez zewnętrznego upoważnionego audytora bezpieczeństwa (ang. Qualified Security Assessor), czy wewnętrznie, zależy od liczby i sumarycznej wartości transakcji z wykorzystaniem kart płatniczych, które obsługuje dane przedsiębiorstwo.
Wymagania standardu
Standard składa się z 12 wymagań zgrupowanych w 6 grup tematycznych (celów kontrolnych). Każde z wymagań składa się z szeregu szczegółowych punktów wymagań.
Cel kontrolny | Wymaganie PCI DSS |
---|---|
Zbuduj i utrzymuj bezpieczną sieć | 1. Zainstaluj i utrzymuj konfigurację zapory sieciowej, aby chronić dane posiadaczy kart. |
2. Nie używaj domyślnych haseł ani innych parametrów bezpieczeństwa ustawionych przez producentów. | |
Chroń dane posiadaczy kart | 3. Chroń dane posiadaczy kart w trakcie ich przechowywania. |
4. Szyfruj transmisję danych posiadaczy kart w otwartych, publicznych sieciach. | |
Prowadź program zarządzania podatnościami | 5. Używaj i regularnie aktualizuj oprogramowanie antywirusowe. |
6. Twórz i utrzymuj bezpieczne systemy i aplikacje. | |
Zaimplementuj silne mechanizmy kontroli dostępu | 7. Ogranicz dostęp do danych posiadaczy kart płatniczych tylko dla osób, które mają taką potrzebę biznesową. |
8. Nadaj unikatowy identyfikator użytkownika każdej osobie z dostępem do komputera. | |
9. Ogranicz fizyczny dostęp do danych posiadaczy kart. | |
Regularnie monitoruj i testuj sieci | 10. Kontroluj i monitoruj cały dostęp do zasobów sieciowych i danych posiadaczy kart. |
11. Regularnie testuj systemy i procesy bezpieczeństwa. | |
Utrzymuj politykę bezpieczeństwa informacji | 12. Utrzymuj politykę, która obejmuje bezpieczeństwo informacji. |
Bibliografia
- PCI Security Standards Council, LLC: About the PCI Data Security Standard (PCI DSS). [dostęp 2010-09-21]. (ang.).