Payment Card Industry Data Security Standard ( PCI - DSS , o PCI in breve) è un insieme di normative di conformità adottate dalle maggiori istituzioni finanziarie come Visa , Mastercard , American Express e Discover . Il presente regolamento disciplina le società che gestiscono o memorizzano i dati dei clienti - identificabili , come la carta di credito , conto bancario e numeri di previdenza sociale . Quali sono i requisiti di conformità ?
PCI - DSS è suddiviso in 12 requisiti che governano tutto, dalla configurazione di rete e la segregazione , la password e antivirus politiche , crittografia e software del ciclo di vita di sviluppo della società , se sono lo sviluppo di applicazioni in -house .
costruire e mantenere una rete sicura
Il primo contratto di due requisiti di configurazione del firewall di una società e cambiando impostazioni predefinite del fornitore , come ad esempio le password di default , il software l'azienda utilizza .
proteggere i dati dei titolari di carta
Requisiti di tre e quattro si occupano di cifratura dei dati in cui è memorizzato e la crittografia dei dati mentre viene trasmessa. Questi sono requisiti critici e di solito sono esaminati da revisori PCI . È necessario assicurarsi di avere una buona politica di crittografia per coprire questi due requisiti .
Mantenere una vulnerabilità Program Management
Requisiti di cinque e sei si occupano di manutenzione anti-virus e sviluppo software . Per i primi, avrete bisogno di una politica anti- virus, che di solito non è lungo e può essere arrotolato nella politica di sicurezza nel requisito 12 . Requisito sei è uno dei più grandi sezioni del controllo PCI -DSS e dovrebbe avere un software documentato ciclo di sviluppo . Requisito 6.6 riguarda anche test di penetrazione delle applicazioni web , che il revisore PCI sarà necessario fare prima di rilasciare un certificato di conformità. Ci sono strumenti, come Grandinata o AppScan , che dovrebbero soddisfare questo requisito .
Implementare la Access Control Misure
Requisiti
sette a nove trattano limitare l'accesso ai dati dei titolari di carta solo a quelli che hanno responsabilità di sapere bisogno , l'assegnazione di un identificativo univoco a chiunque abbia accesso ai dati dei titolari di carta e limitare l'accesso fisico al data center in cui le informazioni dei titolari di carta sono memorizzate . Alcune aziende sono in grado di aggirare requisito nove da avere una , negozio di host provider gestito PCI - compliant i dati per loro.
Monitoraggio e test delle reti
Requisiti 10 e 11 si occupano di registrazione degli accessi di rete nell'ambiente dei dati di titolari di carta e di un programma di test regolare di tutti i sistemi e processi .
Mantenere un Information Security Policy
requisito 12 riguarda le politica di sicurezza , che può e deve comprendere tutti gli altri 11 requisiti PCI -DSS . Questo è il più grande pezzo di documentazione che deve essere prodotta ed è utile assumere uno scrittore tecnico professionista per fare questo .