Standard PCI DSS (Payment Card Industry, Data Security Standard) jest jednolitym standardem bezpieczeństwa opracowanym przez Payment Card Industry Security Standards Council skupiający najważniejsze z firm zajmujące się procesowaniem kart kredytowych.
12 grup wymagań jest podzielonych na 6 głównych obszarów:
Budowa i utrzymanie bezpiecznej sieci
Wymaganie 1: Zainstaluj i skonfiguruj zapory ogniowe tak aby chronić dane posiadaczy kart
Wymaganie 2: Nie używaj domyślnych, dostarczanych przez dostawców danych w postaci haseł i innych parametrów bezpieczeństwa
Ochrona danych posiadaczy kart
Wymaganie 3: Chroń przechowywane dane użytkowników kart
Wymaganie 4: Szyfruj dane posiadaczy kart przesyłane otwartymi, publicznymi łączami
Utrzymuj program zarządzania podatnościami
Wymaganie 5: Używaj i regularnie aktualizuj oprogramowanie antywirusowe
Wymaganie 6: Twórz i utrzymuj bezpieczne systemy i aplikacje
Zaimplementuj silne mechanizmy kontroli dostępu
Wymaganie 7: Ogranicz dostęp do danych posiadaczy kart zgodnie z zasadą wiedzy koniecznej
Wymaganie 8: Przypisz unikalne identyfikatory wszystkim osobom mającym dostęp do komputerów
Wymaganie 9: Ogranicz fizyczny dostęp do danych posiadaczy kart
Regularnie monitoruj i testuj sieci
Wymaganie 10: Wyszukuj i monitoruj wszystkie próby dostępu do zasobów sieciowych oraz informacji o posiadaczach kart
Wymaganie 11: Regularnie testuj systemy i procesy bezpieczeństwa
Utrzymuj Politykę Bezpieczeństwa Informacji
Wymaganie 12: Spełniać polisę, która jest skupiona na bezpieczeństwie przechowywanych informacji
Natknąłem się ostatnio na interesujący materiał marketingowy - piosenkę tłumaczącą zasadność przestrzegania powyższych 12 zasad.
Posłuchajcie sami