Maksājumu karšu nozares datu drošības standarts (PCI DSS) ir vadlīniju un paraugprakses kopums, kas tiek nodrošināts visiem uzņēmumiem un citām struktūrām, kas apstrādā, pārsūta vai glabā kredītkaršu datus. Šīs vadlīnijas izstrādāja PCI drošības standartu padome (PCI SSC), un tās ir paredzētas, lai novērstu datu noplūdi un no tā izrietošo identitātes zādzību un kredītkaršu krāpšanu. Atbilstībā PCI DSS notiek trīs posmi: biznesa procesu novērtēšana un iespējamo risku identificēšana, šo risku novēršana un ziņošana par atbilstības centieniem attiecīgajām bankām un citiem kredītkaršu emitentiem.
Maksājumu karšu nozares vissvarīgākā datu drošības standartu atbilstība ir droša datortīkla izveide un uzturēšana. Starp kartes turētāja datiem un ārēju piekļuvi tīklam ir jāizveido stabils ugunsmūris. Sistēmas paroles ir jāievieš kopā ar citiem drošības pasākumiem katrā iespējamā tīkla ievainojamības vietā. Visiem kartes turētāja datiem ir jābūt droši uzglabātiem, un, pārsūtot publiskos tīklos, tie ir jāšifrē. Pastāvīgie pasākumi ietver pretvīrusu programmatūras izmantošanu un ierobežotu fizisku vai datoru piekļuvi datiem, ko veic personāls, pamatojoties uz uzņēmuma vajadzībām.
Ir pieejami daudzi rīki un pakalpojumi, lai palīdzētu organizācijām darbā ar PCI DSS. Lai gan PCI SSC nosaka PCI atbilstības standartus, visi lielākie kredītkaršu zīmoli ir izveidojuši savus standartus attiecībā uz šo standartu izpildi un atbilstību, kā arī kredītkaršu validācijas procedūrām. Katrs no šiem uzņēmumiem piedāvā tiešsaistes un citus norādījumus organizācijām, kas pieņem viņu kartes. PCI SSC darbojas arī programma, kas apstiprina kvalificētus drošības vērtētājus, kuri apstiprina atbilstību maksājumu karšu nozares datu drošības standartam. Organizācijām, kas paši novērtē savu atbilstību, PCI SSC nodrošina validācijas rīkus, ko sauc par pašnovērtējuma anketām vairākos veidos, un katrs ir pielāgots konkrētai uzņēmējdarbības videi.
Maksājumu karšu nozares datu drošības standarta ievērošanas galvenais priekšnoteikums ir tikai tādu kredītkaršu datu glabāšana, kas ir būtiski organizācijas vajadzībām. Uzglabātajiem datiem ir jāattiecina laika ierobežojumi, un darījumu autentifikācijas dati nekad nav jāuzglabā. Visiem kontu numuriem un citiem sensitīviem datiem, kas tiek pārraidīti publiskajos tīklos, jābūt daļēji maskētiem.
Citi notiekošie PCI DSS pasākumi ietver ievainojamības pārvaldības programmas izveidi un uzturēšanu, kas rada drošas lietojumprogrammas un programmas. Nepieciešama arī regulāra uzraudzība un tīkla pārbaude, lai noteiktu nepilnības. Katrai organizācijai ir arī jāuztur un jāizplata rakstiska drošības politika visam personālam.
SmartAsset.