มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) เป็นชุดของแนวทางและแนวทางปฏิบัติที่ดีที่สุดที่มอบให้กับทุกธุรกิจและหน่วยงานอื่น ๆ ที่ดำเนินการส่งหรือเก็บข้อมูลบัตรเครดิตแนวทางเหล่านี้ได้รับการพัฒนาโดยสภาความปลอดภัย PCI (PCI SSC) และมีวัตถุประสงค์เพื่อป้องกันการรั่วไหลของข้อมูลและการขโมยข้อมูลประจำตัวและการฉ้อโกงบัตรเครดิตมีสามขั้นตอนต่อเนื่องที่เกี่ยวข้องกับการปฏิบัติตาม PCI DSS: การประเมินกระบวนการทางธุรกิจและการระบุความเสี่ยงที่อาจเกิดขึ้นการแก้ไขความเสี่ยงเหล่านั้นและการรายงานความพยายามในการปฏิบัติตามกฎระเบียบของธนาคารที่เกี่ยวข้องและผู้ออกบัตรเครดิตอื่น ๆ

ความยิ่งใหญ่ในการปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรการชำระเงินคือการสร้างและบำรุงรักษาเครือข่ายคอมพิวเตอร์ที่ปลอดภัยจะต้องสร้างไฟร์วอลล์ที่แข็งแกร่งระหว่างข้อมูลผู้ถือบัตรและการเข้าถึงภายนอกไปยังเครือข่ายควรใช้รหัสผ่านระบบพร้อมกับมาตรการรักษาความปลอดภัยอื่น ๆ ในทุกจุดที่มีศักยภาพของช่องโหว่เครือข่ายข้อมูลผู้ถือบัตรทั้งหมดจะต้องเก็บไว้อย่างปลอดภัยและเมื่อส่งผ่านเครือข่ายสาธารณะจะต้องเข้ารหัสมาตรการอย่างต่อเนื่องรวมถึงการใช้ซอฟต์แวร์ป้องกันไวรัสและการ จำกัด การเข้าถึงข้อมูลทางกายภาพหรือคอมพิวเตอร์ที่ จำกัด โดยบุคลากรบนพื้นฐานของธุรกิจที่จำเป็นต้องรู้

มีเครื่องมือและบริการมากมายสำหรับองค์กรช่วยเหลือในการจัดการกับ PCI DSSในขณะที่ PCI SSC กำหนดมาตรฐานสำหรับการปฏิบัติตาม PCI แบรนด์บัตรเครดิตที่สำคัญทั้งหมดได้สร้างมาตรฐานของตนเองเกี่ยวกับการบังคับใช้และการปฏิบัติตามมาตรฐานเหล่านั้นรวมถึงขั้นตอนการตรวจสอบความถูกต้องของบัตรเครดิตแต่ละ บริษัท เหล่านี้เสนอคำแนะนำออนไลน์และคำแนะนำอื่น ๆ ให้กับองค์กรที่รับบัตรของพวกเขาPCI SSC ยังดำเนินการโปรแกรมที่อนุมัติผู้ประเมินความปลอดภัยที่มีคุณสมบัติซึ่งตรวจสอบการปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงินสำหรับองค์กรที่ประเมินการปฏิบัติตามด้วยตนเอง PCI SSC ให้เครื่องมือตรวจสอบความถูกต้องที่เรียกว่าแบบสอบถามการประเมินตนเองในหลายรูปแบบแต่ละรูปแบบปรับให้เหมาะกับสภาพแวดล้อมทางธุรกิจที่เฉพาะเจาะจง

สถานที่สำคัญในการปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงินคือการจัดเก็บข้อมูลบัตรเครดิตที่จำเป็นต่อความต้องการขององค์กรเท่านั้นข้อมูลที่เก็บไว้ควรอยู่ภายใต้การ จำกัด เวลาและข้อมูลการรับรองความถูกต้องของธุรกรรมไม่ควรเก็บไว้หมายเลขบัญชีทั้งหมดและข้อมูลที่ละเอียดอ่อนอื่น ๆ ที่ส่งบนเครือข่ายสาธารณะจะต้องถูกปกปิดบางส่วน

มาตรการ PCI DSS อื่น ๆ อย่างต่อเนื่องรวมถึงการสร้างและบำรุงรักษาโปรแกรมการจัดการช่องโหว่ที่สร้างแอพพลิเคชั่นและโปรแกรมที่ปลอดภัยจำเป็นต้องมีการตรวจสอบตามปกติและการทดสอบเครือข่ายเพื่อระบุจุดอ่อนแต่ละองค์กรจะต้องรักษาและแจกจ่ายนโยบายความปลอดภัยเป็นลายลักษณ์อักษรให้กับบุคลากรทุกคน