Što je standard sigurnosti podataka industrije platnih kartica?

Standard za sigurnost podataka industrije platnih kartica (PCI DSS) skup je smjernica i najboljih praksi koje se pružaju svim tvrtkama i drugim subjektima koji obrađuju, prenose ili pohranjuju podatke o kreditnim karticama. Ove smjernice razvilo je Vijeće za sigurnosne standarde PCI (PCI SSC) i namijenjene su sprječavanju curenja podataka i posljedične krađe identiteta i prijevare s kreditnim karticama. Tri su faze koje su u tijeku uključene u usklađivanje s PCI DSS: procjena poslovnih procesa i identifikacija potencijalnih rizika, sanacija tih rizika i izvješćivanje relevantnih banaka i drugih izdavatelja kreditnih kartica o naporima u pogledu usklađenosti.

Najvažnije u industriji platnih kartica Usklađenost sa standardom sigurnosti podataka je stvaranje i održavanje sigurne računalne mreže. Između podataka o korisniku kartice i vanjskog pristupa mreži mora biti izgrađen robustan vatrozid. Lozinke sustava trebale bi se implementirati zajedno s drugim sigurnosnim mjerama na svakoj potencijalnoj točki ranjivosti mreže. Svi podaci o vlasnicima kartice moraju biti sigurno pohranjeni, a kada se prenose putem javnih mreža, moraju biti šifrirani. Mjere koje su u tijeku uključuju korištenje antivirusnog softvera i ograničen fizički ili računalni pristup podacima od strane osoblja na temelju poslovne potrebe.

Dostupni su brojni alati i usluge za pomoć organizacijama u radu s PCI DSS-om. Dok PCI SSC uspostavlja standarde za usklađenost s PCI-jem, sve glavne robne marke kreditnih kartica stvorile su vlastite standarde u pogledu provedbe i usklađenosti tih standarda, kao i postupaka validacije kreditnih kartica. Svaka od ovih tvrtki nudi online i druge smjernice organizacijama koje prihvaćaju njihove kartice. PCI SSC također vodi program koji odobrava kvalificirane ocjenjivače sigurnosti koji potvrđuju usklađenost sa Standardom za sigurnost podataka industrije platnih kartica. Za organizacije koje samoprocjenjuju svoju usklađenost, PCI SSC nudi alate za provjeru valjanosti pod nazivom Upitnici za samoprocjenu u nekoliko oblika, od kojih je svaki prilagođen specifičnim poslovnim okruženjima.

Ključna pretpostavka za usklađenost sa Standardom o sigurnosti podataka industrije platnih kartica je pohranjivanje samo podataka o kreditnim karticama koji su bitni za potrebe organizacije. Pohranjeni podaci trebaju biti podvrgnuti vremenskim ograničenjima, a podaci za autentifikaciju transakcija nikada se ne smiju pohranjivati. Svi brojevi računa i drugi osjetljivi podaci koji se prenose na javnim mrežama moraju biti djelomično maskirani.

Ostale tekuće PCI DSS mjere uključuju stvaranje i održavanje programa za upravljanje ranjivostima koji stvara sigurne aplikacije i programe. Rutinsko praćenje i testiranje mreže također su potrebni za utvrđivanje slabosti. Svaka organizacija također mora održavati i distribuirati pisanu sigurnosnu politiku svom osoblju.