PCI DSS (Payment Card Industry, Data Security Standard)

Štandard definujúci ako je potrebné s detailmi platobnej karty a držiteľa karty zaobchádzať a ako ich uchovávať. PCI DSS možno tiež charakterizovať ako súbor požiadaviek a procesov, ktoré sú podporované všetkými medzinárodnými kartovými platobnými systémami.

PCI Security Standards Council (PCI SSC) je spoločnosť založená spoločnosťami American Express, Discover Financial Services, JCB, MasterCard Worldwide a Visa International. Jej úloha spočíva v oblasti vývoja, zlepšovania, rozširovania a podpory implementácie bezpečnostných štandardov. PCI SSC organizuje školenia a semináre pre obchodníkov i širokú verejnosť.

Jadrom PCI DSS je súbor zásad a požiadaviek, pomocou ktorých je systém organizovaný:

1. Budovanie a údržba bezpečnej siete

• inštalácia a údržba firewall konfigurácií s cieľom ochrániť informácie o detailoch platobnej karty a jej držiteľovi (ďalej všeobecne len ako ochrana klienta, držiteľa karty)
• obmedzenie využívania prednastavených systémových hesiel a bezpečnostných parametrov

2. Ochrana dát o držiteľoch platobných kariet

• uchovávanie uložených dát
• šifrovanie pri prenášaní dát cez verejné a otvorené siete

3. Údržba a programová vybavenosť

• používania a pravidelné aktualizovanie antivírusového programu
• vývoj a údržba bezpečnostného systému a aplikácií

4. Tvorba silných prístupových kontrolných opatrení

• obmedzenie prístupu k dátam o klientoch v zmysle poskytovať len to, čo je naozaj nevyhnutné
• priradzovanie unikátneho ID pre každú osobu pristupujúcu k dátam
• obmedzenie fyzického prístupu k dátam

5. Monitorovanie a testovanie siete

• sledovanie a monitorovanie všetkých prístupov k sieti a dátam
• testovanie bezpečnosti systému a procesov

6. údržba politiky bezpečnosti informácií