Payment Card Industry Data Security Standards ( PCI - DSS , eller PCI for korte) er et sæt af compliance , der er vedtaget af store finansielle institutioner såsom VISA, Mastercard, American Express og Discover . Disse regler regulerer virksomheder, som håndterer eller opbevarer kundens identificerbare data , såsom kreditkort, bankkonto og CPR-numre . Hvad er Compliance krav?
PCI - DSS er opdelt i 12 krav , der styrer alt fra netværkskonfiguration og segregation , kodeord og anti- virus politik , kryptering og virksomhedens softwareudvikling livscyklus , hvis de er udvikle applikationer in-house.
fotos opbygge og vedligeholde et sikkert netværk
de to første krav deal med en virksomheds firewall konfiguration og skiftende sælger defaults , såsom standard passwords på software virksomheden anvender .
Beskyt kortholderens data
Krav tre og fire omhandler kryptere data , hvor det er gemt , og kryptere data , mens det bliver transmitteres . Disse er kritiske krav og er som regel nøje af PCI revisorer. Du er nødt til at sikre, at du har en god kryptering politik at dække disse to krav .
Opretholde en sårbarhed Management Program
Krav fem og seks deal med anti- virus vedligeholdelse og softwareudvikling. For den førstnævnte , får du brug for en anti - virus politik, som er normalt ikke lang og kan rulles ind i sikkerhedspolitikken i krav 12. . Krav seks er en af de største dele af PCI - DSS revision og skal have et dokumenteret softwareudvikling livscyklus . Krav 6.6 vedrører også penetration test af web-applikationer , som PCI-auditor skal gøre før de udsteder en compliance certifikat. Der er værktøjer, såsom Hailstorm eller AppScan , der skal opfylde dette krav.
Implement Stærk adgangskontrol
Krav syv til ni deal med at begrænse adgangen til kortholderens data til kun dem med behov for at vide ansvar tildele en entydig identifikation til hver person med adgang til kortholderens data og begrænse fysisk adgang til datacentret , hvor kortindehaveren oplysninger er gemt . Nogle virksomheder er i stand til at komme rundt krav ni ved at have en PCI - kompatibel, styret vært udbyder gemmer data for dem.
Regelmæssigt at overvåge og Test Networks
Krav 10 og 11 vedrører logge netadgang til kortindehaveren data miljø og en regelmæssig afprøvning tidsplan for alle systemer og processer .
Oprethold Information Security Policy
Krav 12 vedrører sikkerhedspolitik, som kan og bør omfatte alle de øvrige 11 krav i PCI - DSS. Dette er det største stykke dokumentation , der skal produceres , og det er nyttigt at hyre en professionel teknisk skribent til at gøre dette.