Payment Card Industry Data Security Standard (PCI DSS) er et sett med retningslinjer og beste praksis som leveres til alle virksomheter og andre enheter som behandler, sender eller lagrer kredittkortdata.Disse retningslinjene ble utviklet av PCI Security Standards Council (PCI SSC) og er ment å forhindre datalekkasjer og resulterende identitetstyveri og kredittkortsvindel.Det er tre pågående faser involvert i å overholde PCI DSS: vurdering av forretningsprosesser og identifisering av potensielle risikoer, sanering av disse risikoene og rapportere samsvarsinnsats til relevante banker og andre kredittkortutstedere.

Paramount i betalingskortindustriens sikkerhetsstandardoverholdelse er oppretting og vedlikehold av et sikkert datanettverk.En robust brannmur må konstrueres mellom kortholderdata og ekstern tilgang til nettverket.Systempassord bør implementeres sammen med andre sikkerhetstiltak på alle potensielle poeng for sårbarhet for nettverk.Alle kortholderdata må lagres sikkert, og når de overføres over offentlige nettverk, må de krypteres.Pågående tiltak inkluderer bruk av antivirusprogramvare og begrenset fysisk eller datatilgang til data fra personell på en virksomhet som trenger å vite.

Det er mange verktøy og tjenester tilgjengelig for å hjelpe organisasjoner med å håndtere PCI DSS.Mens PCI SSC etablerer standardene for PCI -samsvar, har alle de store kredittkortmerkene laget sine egne standarder med hensyn til håndhevelse og etterlevelse av disse standardene så vel som kredittkortvalideringsprosedyrer.Hvert av disse selskapene tilbyr online og annen veiledning til organisasjoner som godtar kortene sine.PCI SSC driver også et program som godkjenner kvalifiserte sikkerhetsvurderere som validerer samsvar med betalingskortindustriens sikkerhetsstandard.For organisasjoner som selv vurderer sin etterlevelse, gir PCI SSC valideringsverktøy som kalles spørreskjemaer for egenvurdering i flere former, hver skreddersydd til spesifikke forretningsmiljøer.

Et sentralt premiss for å overholde betalingskortindustriens sikkerhetsstandard er å bare lagre kredittkortdata som er avgjørende for organisasjonens behov.Lagrede data skal underkastes tidsbegrensninger og transaksjonsautentiseringsdata skal aldri lagres.Alle kontonummer og andre sensitive data som overføres på offentlige nettverk, må delvis maskeres.

Andre pågående PCI DSS -tiltak inkluderer oppretting og vedlikehold av et sårbarhetsstyringsprogram som lager sikre applikasjoner og programmer.Rutinemessig overvåking og nettverkstesting for å identifisere svakheter er også påkrevd.Hver organisasjon må også opprettholde og distribuere en skriftlig sikkerhetspolitikk til alt personell.