Payment Card Industry Data Security Standard ( PCI - DSS , eller PCI för kort) är en uppsättning av efterlevnad förordningar som antagits av stora finansiella institutioner såsom VISA, Mastercard , American Express och Discover . Dessa föreskrifter reglerar företag som förvaltar eller lagra kund - identifierbara data, såsom kreditkortsnummer , bankkonto och personnummer . Vad är tvärvillkor ?
PCI - DSS är uppdelat i 12 krav som styr allt från nätverkskonfiguration och segregation , lösenord och anti - virus politik , kryptering och företagets mjukvaruutveckling livscykel , om de är utveckla applikationer i egen regi.
bygga och underhålla ett säkert nätverk
två första kraven deal med ett företags brandvägg konfiguration och ändra grundinställningar försäljare , såsom default lösenord , på mjukvara företaget använder .
Skydda kortdata
Krav tre och fyra behandlar kryptera data, där den lagras och kryptera data medan det överförs. Dessa är viktiga krav och är oftast granskas av PCI revisorer . Du måste se till att du har en bra kryptering politik för att täcka dessa två krav .
Behåll en sårbarhet Management Program
Krav fem och sex deal med anti - virus underhåll och mjukvaruutveckling . För den förstnämnda , behöver du ett anti - virus politik , vilket inte är oftast lång och kan rullas in i säkerhetspolitiken i krav 12 . Krav sex är en av de största delarna av PCI - DSS revision och bör ha en dokumenterad mjukvaruutveckling livscykel . Krav 6.6 gäller också penetrationstester av webbapplikationer , vilket PCI revisorn måste göra innan de utfärdar ett efterlevnad certifikat . Det finns verktyg, såsom Hailstorm eller AppScan , som ska uppfylla detta krav .
Implement Stark kontrollåtgärder för tillträde
Krav sju till nio behandlar begränsa tillgången till kortdata att endast de med behov av att få ansvar , tilldela en unik identifikation för varje person med tillgång till kortdata och begränsa fysisk tillgång till datacenter där kortinnehavaren information lagras . Vissa företag har möjlighet att komma runt kravet nio genom att ha ett PCI - kompatibel , hanterad värd leverantör lagra data för dem .
Regelbundet övervaka och nätverk Test
Krav 10 och 11 behandlar logga nätverksåtkomst till kortdata miljön och en regelbunden provning schema för alla system och processer .
Upprätthålla en informationssäkerhetspolicy
Krav 12 avser säkerhetspolitik , som kan och bör omfatta alla de övriga 11 kraven i PCI - DSS . Detta är den största del av dokumentation som behöver tas fram och det är bra att anlita en professionell teknisk skribent för att göra detta .
