Standard bezpieczeństwa danych w branży płatności (PCI DSS) to zestaw wytycznych i najlepszych praktyk dostarczonych wszystkim firmom i innym podmiotom, które przetwarzają, przesyłają lub przechowują dane karty kredytowej.Wytyczne te zostały opracowane przez PCI Security Standards Council (PCI SSC) i mają na celu zapobieganie wyciekom danych i wynikającym z tego kradzieży tożsamości i oszustw kart kredytowych.Istnieją trzy trwające fazy związane z przestrzeganiem PCI DS: ocena procesów biznesowych i identyfikacja potencjalnych zagrożeń, naprawianie tych zagrożeń oraz zgłaszanie wysiłków zgodności dla odpowiednich banków i innych emitentów kart kredytowych.

Paramount w kartach płatniczych Standardowa zgodność z bezpieczeństwem danych w branży jest tworzenie i konserwacja bezpiecznej sieci komputerowej.Należy zbudować solidną zaporę ogniową między danymi posiadacza karty a zewnętrznym dostępem do sieci.Hasła systemowe powinny być wdrażane wraz z innymi miarami bezpieczeństwa w każdym potencjalnym punkcie podatności na sieci.Wszystkie dane posiadacza karty muszą być bezpiecznie przechowywane, a gdy są przesyłane w sieci publicznych, należy je zaszyfrować.Bieżące środki obejmują stosowanie oprogramowania antywirusowego oraz ograniczony fizyczny lub komputerowy dostęp do danych przez personel na zasadzie biznesowej.

Istnieje wiele narzędzi i usług, które pomagają organizacjom w kontaktach z PCI DS.Podczas gdy PCI SSC ustanawia standardy zgodności z PCI, wszystkie główne marki kart kredytowych stworzyły własne standardy w zakresie egzekwowania i zgodności tych standardów, a także procedurów sprawdzania poprawności kart kredytowych.Każda z tych firm oferuje online i inne wskazówki dla organizacji, które akceptują swoje karty.PCI SSC prowadzi również program, który zatwierdza wykwalifikowanych asesorów bezpieczeństwa, którzy potwierdzają zgodność ze standardem bezpieczeństwa danych w branży płatności.Dla organizacji, które samoocenią ich zgodność, PCI SSC zapewnia narzędzia walidacyjne zwane kwestionariuszami samooceny w kilku formach, każde dostosowane do określonych środowisk biznesowych.

Kluczową przesłanką polegającą na przestrzeganiu standardu bezpieczeństwa danych w branży płatności jest przechowywanie wyłącznie danych karty kredytowej, które są niezbędne dla potrzeb organizacji.Przechowywane dane powinny być poddawane ograniczeniom czasowym, a dane uwierzytelniania transakcji nigdy nie powinny być przechowywane.Wszystkie numery kont i inne poufne dane przesyłane w sieciach publicznych muszą być częściowo zamaskowane.

Inne trwające środki PCI DSS obejmują tworzenie i utrzymanie programu zarządzania podatnością, który tworzy bezpieczne aplikacje i programy.Wymagane są również rutynowe monitorowanie i testy sieciowe w celu identyfikacji słabości.Każda organizacja musi również utrzymywać i dystrybuować pisemną politykę bezpieczeństwa wszystkim personelowi.