Czym jest PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) jest standardem opracowanym przez Payment Card Industry Security Standards Council. Powstał z myślą o podniesieniu bezpieczeństwa danych kart płatniczych oraz ujednolicenia norm w zakresie ich przetwarzania i przechowywania.
Kogo obowiązują wytyczne PCI DSS?
Standard PCI DSS powinny wdrożyć podmioty, których działalność wiąże się z przetwarzaniem danych kart płatniczych. Obowiązkiem stosowania PCI DSS objęci są m.in.: akceptanci kart płatniczych, centra rozliczeniowe, emitenci kart płatniczych.
Zobowiązanie do zachowania norm bezpieczeństwa wynika z umów zawieranych np. pomiędzy akceptantami kart płatniczych a centrami rozliczeniowymi. Podmiot podlegający obowiązkowi wdrożenia standardu PCI DSS, który nie będzie go stosował, naraża się na kary umowne.
Przeczytaj także: Do czego służy kod CVV2 i dlaczego należy zadbać o jego bezpieczeństwo?
Wymagania PCI DSS
PCI DSS składa się z 12 zasadniczych wymagań, wśród których można wyróżnić:
- instalację i utrzymanie właściwej konfiguracji zapory sieciowej;
- zmianę domyślnych haseł systemowych;
- ochronę przechowywanych danych posiadaczy kart;
- stosowanie szyfrowania podczas transmisji danych posiadaczy kart płatniczych w otwartych, publicznych sieciach komputerowych;
- ochronę systemów przed wirusami i regularną aktualizacja oprogramowania antywirusowego;
- ograniczanie dostępu do danych posiadaczy kart płatniczych (udostępnianie danych w możliwie minimalnym zakresie, niezbędnym do prawidłowego przeprowadzenia operacji);
- ograniczanie fizycznego dostępu do danych posiadaczy kart płatniczych;
- monitorowanie wszystkich prób dostępu do danych posiadaczy kart płatniczych;
- regularne testowanie systemów bezpieczeństwa.
Każde z powyższych, przykładowych wymagań posiada w PCI DSS swoje szczegółowe rozwinięcie i listę punktów kontrolnych. Pełną treść standardu można znaleźć na stronie: www.pcisecuritystandards.org.
Wymagania zawarte w PCI DSS określają niezbędne minimum w zakresie bezpiecznego przetwarzania danych kart płatniczych, dlatego mogą one być uzupełnianie o dodatkowe procedury.