La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble de directives et de meilleures pratiques fournies à toutes les entreprises et autres entités qui traitent, transmettent ou stockent les données de carte de crédit.Ces directives ont été élaborées par le PCI Security Standards Council (PCI SSC) et sont destinées à empêcher les fuites de données et le vol d'identité et la fraude par carte de crédit qui en résulte.Il existe trois phases en cours impliquées dans le respect du PCI DSS: l'évaluation des processus métier et l'identification des risques potentiels, l'assainissement de ces risques et la déclaration des efforts de conformité aux banques concernées et autres émetteurs de cartes de crédit.

Paramount dans les cartes de paiement de l'industrie de l'industrie de la sécurité des données La conformité standard est la création et la maintenance d'un réseau informatique sécurisé.Un pare-feu robuste doit être construit entre les données du titulaire de carte et l'accès externe au réseau.Les mots de passe du système doivent être mis en œuvre avec d'autres mesures de sécurité à chaque point potentiel de vulnérabilité du réseau.Toutes les données du titulaire de cartes doivent être stockées en toute sécurité et, lorsqu'elles sont transmises sur les réseaux publics, il doit être crypté.Les mesures continues incluent l'utilisation de logiciels antivirus et l'accès physique ou ordinateur restreint aux données par le personnel sur une base de nécessité de savoir l'entreprise.

Il existe de nombreux outils et services disponibles pour aider les organisations à gérer le PCI DSS.Alors que le PCI SSC établit les normes de conformité PCI, toutes les principales marques de cartes de crédit ont créé leurs propres normes concernant l'application et la conformité de ces normes ainsi que les procédures de validation des cartes de crédit.Chacune de ces sociétés propose des conseils en ligne et autres aux organisations qui acceptent leurs cartes.Le PCI SSC exploite également un programme qui approuve les évaluateurs de sécurité qualifiés qui valident le respect de la norme de sécurité des données de l'industrie des cartes de paiement.Pour les organisations qui auto-évaluent leur conformité, le PCI SSC fournit des outils de validation appelés questionnaires d'auto-évaluation sous plusieurs formes, chacune adaptée à des environnements commerciaux spécifiques.

Une prémisse clé pour se conformer à la norme de sécurité des données de l'industrie des cartes de paiement est de ne stocker que des données de carte de crédit essentielles aux besoins des organisations.Les données stockées doivent être soumises à des limites de temps et les données d'authentification des transactions ne doivent jamais être stockées.Tous les numéros de compte et autres données sensibles transmis sur les réseaux publics doivent être partiellement masqués.

Les autres mesures en cours PCI DSS comprennent la création et la maintenance d'un programme de gestion de vulnérabilité qui crée des applications et des programmes sécurisés.La surveillance de routine et les tests de réseau pour identifier les faiblesses sont également nécessaires.Chaque organisation doit également maintenir et distribuer une politique de sécurité écrite à tout le personnel.