PCI DSS - standard w zakresie bezpiecznego przetwarzania danych kart płatniczych

PCI DSS, czyli standard bezpiecznego przetwarzania danych kart płatniczych

iStock

Czym jest PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) jest standardem opracowanym przez Payment Card Industry Security Standards Council. Powstał z myślą o podniesieniu bezpieczeństwa danych kart płatniczych oraz ujednolicenia norm w zakresie ich przetwarzania i przechowywania.

Payment Card Industry Security Standards Council - Rada założona w 2006 roku przez: American Express, Discover, JCB International, MasterCard i Visa Inc.

Kogo obowiązują wytyczne PCI DSS?

Standard PCI DSS powinny wdrożyć podmioty, których działalność wiąże się z przetwarzaniem danych kart płatniczych. Obowiązkiem stosowania PCI DSS objęci są m.in.: akceptanci kart płatniczych, centra rozliczeniowe, emitenci kart płatniczych.

Zobowiązanie do zachowania norm bezpieczeństwa wynika z umów zawieranych np. pomiędzy akceptantami kart płatniczych a centrami rozliczeniowymi. Podmiot podlegający obowiązkowi wdrożenia standardu PCI DSS, który nie będzie go stosował, naraża się na kary umowne.

Przeczytaj także: Do czego służy kod CVV2 i dlaczego należy zadbać o jego bezpieczeństwo?

Wymagania PCI DSS

PCI DSS składa się z 12 zasadniczych wymagań, wśród których można wyróżnić:

  • instalację i utrzymanie właściwej konfiguracji zapory sieciowej;
  • zmianę domyślnych haseł systemowych;
  • ochronę przechowywanych danych posiadaczy kart;
  • stosowanie szyfrowania podczas transmisji danych posiadaczy kart płatniczych w otwartych, publicznych sieciach komputerowych;
  • ochronę systemów przed wirusami i regularną aktualizacja oprogramowania antywirusowego;
  • ograniczanie dostępu do danych posiadaczy kart płatniczych (udostępnianie danych w możliwie minimalnym zakresie, niezbędnym do prawidłowego przeprowadzenia operacji);
  • ograniczanie fizycznego dostępu do danych posiadaczy kart płatniczych;
  • monitorowanie wszystkich prób dostępu do danych posiadaczy kart płatniczych;
  • regularne testowanie systemów bezpieczeństwa.

Każde z powyższych, przykładowych wymagań posiada w PCI DSS swoje szczegółowe rozwinięcie i listę punktów kontrolnych. Pełną treść standardu można znaleźć na stronie: www.pcisecuritystandards.org.

Wymagania zawarte w PCI DSS określają niezbędne minimum w zakresie bezpiecznego przetwarzania danych kart płatniczych, dlatego mogą one być uzupełnianie o dodatkowe procedury.