Payment Card Industry Data Security Standard (PCI DSS) er et sæt retningslinjer og bedste praksis, der leveres til alle virksomheder og andre enheder, der processer, transmitterer eller gemmer kreditkortdata.Disse retningslinjer blev udviklet af PCI Security Standards Council (PCI SSC) og er beregnet til at forhindre datalækager og resulterende identitetstyveri og kreditkortsvindel.Der er tre igangværende faser involveret i at overholde PCI DSS: vurdering af forretningsprocesser og identifikation af potentielle risici, afhjælpning af disse risici og rapportering af overholdelsesbestræbelser til relevante banker og andre kreditkortudstedere.

Paramount in Payment Card Industry Data Security Standard overholdelse er oprettelse og vedligeholdelse af et sikkert computernetværk.En robust firewall skal konstrueres mellem kortholderdata og ekstern adgang til netværket.Systemadgangskoder skal implementeres sammen med andre sikkerhedsforanstaltninger på ethvert potentielt netværkssårbarhed.Alle kortholderdata skal gemmes sikkert, og når de transmitteres på tværs af offentlige netværk, skal de krypteres.Løbende foranstaltninger inkluderer brugen af anti-virus-software og begrænset fysisk eller computeradgang til data fra personale på et forretningsbehov-til-kendt-grundlag.

Der er adskillige værktøjer og tjenester til rådighed til at hjælpe organisationer med at håndtere PCI DSS.Mens PCI SSC fastlægger standarderne for PCI -overholdelse, har alle de vigtigste kreditkortmærker oprettet deres egne standarder med hensyn til håndhævelse og overholdelse af disse standarder såvel som kreditkortvalideringsprocedurer.Hver af disse virksomheder tilbyder online og anden vejledning til organisationer, der accepterer deres kort.PCI SSC driver også et program, der godkender kvalificerede sikkerhedsvurderere, der validerer overholdelse af Data Security Standard for betalingskortindustrien.For organisationer, der selvvurderer deres overholdelse, giver PCI SSC valideringsværktøjer kaldet selvvurderingsspørgeskemaer i flere former, der hver især er skræddersyet til specifikke forretningsmiljøer.

En vigtig forudsætning for at overholde betalingskortindustriens datasikkerhedsstandard er kun at gemme kreditkortdata, der er vigtige for organisationers behov.Opbevarede data skal underkastes tidsgrænser, og data om transaktionsgodkendelsesdata bør aldrig gemmes.Alle kontonumre og andre følsomme data, der transmitteres på offentlige netværk, skal delvist maskes.

Andre igangværende PCI DSS -mål inkluderer oprettelse og vedligeholdelse af et sårbarhedsstyringsprogram, der skaber sikre applikationer og programmer.Rutinemæssig overvågning og netværkstest for at identificere svagheder er også påkrævet.Hver organisation skal også opretholde og distribuere en skriftlig sikkerhedspolitik til alt personale.