Kravene til PCI Compliance

May 20

Payment Card Industry Data Security Standard (PCI-DSS, eller PCI for kort) er et sett av etterlevelse forskrifter vedtatt av store finansinstitusjoner som VISA, Mastercard, American Express og Discover. Forskriften regulerer selskapene som klarer eller lagre kundeidentifiserbare data, for eksempel kredittkort, bankkonto og personnummer.

Hva er godkjenningskrav?

PCI-DSS er delt inn i 12 krav som styrer alt fra nettverkskonfigurasjon og segregering, passord og anti-virus politikk, kryptering og selskapets programvareutvikling livssyklus, hvis de utvikler applikasjoner i huset.

Bygge og vedlikeholde et sikkert nettverk

De to første kravene avtale med et selskap brannmur konfigurasjon og skiftende leverandøren standard, slik som standard passord, på programvare selskapet bruker.

Beskytt kortholderdata

Krav tre og fire avtale med kryptering av data der det er lagret og kryptere data mens den overføres. Dette er kritiske krav og er vanligvis gransket av PCI revisorer. Du må sørge for at du har en god kryptering politikk for å dekke disse to kravene.

Opprettholde en ledelse Sårbarhet Program

Krav fem og seks avtale med anti-virus vedlikehold og utvikling av programvare. For det første, trenger du en anti-virus politikk, som ikke er vanligvis lang, og kan rulles inn i sikkerhetspolitikk i krav 12. Krav seks er en av de største delene av PCI-DSS revisjon og bør ha en dokumentert programvareutviklingen. Krav 6.6 gjelder også penetration testing av webapplikasjoner, som PCI revisor må gjøre før utstedelse av samsvarssertifikat. Det finnes verktøy som haglstorm eller AppScan, som bør tilfredsstille dette kravet.

Implementere Sterk Access Control Tiltak

Krav sju til ni avtale med å begrense tilgangen til kortinnehaveren data til bare de med behov for å vite ansvar, tildele en unik identifikasjon til hver person med tilgang til kortholderdata og begrense fysisk tilgang til datasenteret hvor kortinnehaveren informasjon er lagret. Noen selskaper er i stand til å komme seg rundt kravet ni ved å ha et PCI-kompatibel, klarte vert leverandør lagre data for dem.

Regelmessig overvåke og testnett

Krav 10 og 11 avtale med logging nettverkstilgang inn i kortinnehaveren datamiljø og en regelmessig testing tidsplan for alle systemer og prosesser.

Opprettholde en Information Security Policy

Krav 12 gjelder sikkerhetspolitikk, noe som kan og bør omfatte alle de andre 11 kravene i PCI-DSS. Dette er det største stykket av dokumentasjon som må produseres, og det er nyttig å ansette en profesjonell teknisk skribent til å gjøre dette.