1. Strona główna
  2. Blog
  3. PCI DSS, czyli standard bezpiecznego przetwarzania danych kart płatniczych
PCI DSS - standard w zakresie bezpiecznego przetwarzania danych kart płatniczych

PCI DSS, czyli standard bezpiecznego przetwarzania danych kart płatniczych

iStock.com / BrianAJackson
2020-01-17
Piotr Król

Czym jest PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) jest standardem opracowanym przez Payment Card Industry Security Standards Council. Powstał z myślą o podniesieniu bezpieczeństwa danych kart płatniczych oraz ujednolicenia norm w zakresie ich przetwarzania i przechowywania.

Payment Card Industry Security Standards Council - Rada założona w 2006 roku przez: American Express, Discover, JCB International, MasterCard i Visa Inc.

Kogo obowiązują wytyczne PCI DSS?

Standard PCI DSS powinny wdrożyć podmioty, których działalność wiąże się z przetwarzaniem danych kart płatniczych. Obowiązkiem stosowania PCI DSS objęci są m.in.: akceptanci kart płatniczych, centra rozliczeniowe, emitenci kart płatniczych.

Zobowiązanie do zachowania norm bezpieczeństwa wynika z umów zawieranych np. pomiędzy akceptantami kart płatniczych a centrami rozliczeniowymi. Podmiot podlegający obowiązkowi wdrożenia standardu PCI DSS, który nie będzie go stosował, naraża się na kary umowne.

Przeczytaj także: Do czego służy kod CVV2 i dlaczego należy zadbać o jego bezpieczeństwo?

Wymagania PCI DSS

PCI DSS składa się z 12 zasadniczych wymagań, wśród których można wyróżnić:

  • instalację i utrzymanie właściwej konfiguracji zapory sieciowej;
  • zmianę domyślnych haseł systemowych;
  • ochronę przechowywanych danych posiadaczy kart;
  • stosowanie szyfrowania podczas transmisji danych posiadaczy kart płatniczych w otwartych, publicznych sieciach komputerowych;
  • ochronę systemów przed wirusami i regularną aktualizacja oprogramowania antywirusowego;
  • ograniczanie dostępu do danych posiadaczy kart płatniczych (udostępnianie danych w możliwie minimalnym zakresie, niezbędnym do prawidłowego przeprowadzenia operacji);
  • ograniczanie fizycznego dostępu do danych posiadaczy kart płatniczych;
  • monitorowanie wszystkich prób dostępu do danych posiadaczy kart płatniczych;
  • regularne testowanie systemów bezpieczeństwa.

Każde z powyższych, przykładowych wymagań posiada w PCI DSS swoje szczegółowe rozwinięcie i listę punktów kontrolnych. Pełną treść standardu można znaleźć na stronie: www.pcisecuritystandards.org.

Wymagania zawarte w PCI DSS określają niezbędne minimum w zakresie bezpiecznego przetwarzania danych kart płatniczych, dlatego mogą one być uzupełnianie o dodatkowe procedury.