Thanh toán Chuẩn công nghiệp bảo mật dữ liệu thẻ (PCI DSS) - những núm vú

Mặc dù không phải là một uỷ quyền pháp lý, Tiêu chuẩn An toàn Dữ liệu của Ngành Thanh toán Thẻ (PCI DSS) là một ví dụ về sáng kiến ​​ngành để bắt buộc và thực thi các tiêu chuẩn an toàn. PCI DSS áp dụng cho bất kỳ doanh nghiệp nào trên toàn thế giới chuyển giao, xử lý hoặc lưu trữ các giao dịch thẻ thanh toán (có nghĩa là thẻ tín dụng) để kinh doanh với khách hàng - cho dù doanh nghiệp đó xử lý hàng nghìn giao dịch thẻ tín dụng mỗi ngày hay một giao dịch một năm.

Việc tuân thủ được thực hiện bởi các nhãn hiệu thẻ thanh toán (American Express, MasterCard, Visa, v.v …) và mỗi thẻ thanh toán quản lý chương trình tuân thủ của riêng mình.

Mặc dù PCI DSS là một tiêu chuẩn ngành chứ không phải là một văn bản pháp luật, nhiều tiểu bang đang bắt đầu đưa ra các quy định pháp luật làm cho việc tuân thủ PCI (hoặc ít nhất là tuân thủ các điều khoản nhất định) bắt buộc đối với các tổ chức kinh doanh tại bang đó.

999 PCI DSS đòi hỏi các tổ chức phải nộp bản đánh giá tự động hàng năm và quét mạng, hoặc để hoàn thành các đánh giá bảo mật dữ liệu PCI và kiểm tra mạng hàng quý. Yêu cầu thực tế phụ thuộc vào số lượng giao dịch thẻ thanh toán do một tổ chức xử lý và các yếu tố khác, chẳng hạn như các sự cố mất dữ liệu trước đó.

Phiên bản PCI DSS 3. 0 bao gồm sáu nguyên tắc cơ bản, được hỗ trợ bởi 12 yêu cầu kèm theo, và hơn 200 thủ tục cụ thể để tuân thủ. Chúng bao gồm

Xây dựng và duy trì mạng an toàn:

• Yêu cầu 1: Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu của chủ thẻ.
  • Yêu cầu 2: Không sử dụng mặc định của nhà cung cấp cho mật khẩu hệ thống và các tham số bảo mật khác.
  • Nguyên tắc 2: Bảo vệ dữ liệu của chủ thẻ:
• Yêu cầu 3: Bảo vệ dữ liệu của chủ thẻ đã lưu trữ.
  • Yêu cầu 4: Mã hóa truyền dữ liệu chủ thẻ qua các mạng công khai, mở.
  • Nguyên tắc 3: Duy trì chương trình quản lý dễ bị tổn thương:
• Yêu cầu 5: Sử dụng và thường xuyên cập nhật phần mềm chống vi-rút.
  • Yêu cầu 6: Phát triển và duy trì hệ thống và ứng dụng an toàn.
  • Nguyên tắc 4: Thực hiện các biện pháp kiểm soát truy cập mạnh:
• Yêu cầu 7: Hạn chế quyền truy cập dữ liệu của chủ thẻ theo yêu cầu kinh doanh.
  • Yêu cầu 8: Chỉ định một ID duy nhất cho mỗi người có quyền truy cập máy tính.
  • Yêu cầu 9: Hạn chế truy cập vật lý vào dữ liệu của chủ thẻ.
  • Nguyên tắc 5: Theo dõi và kiểm tra mạng lưới thường xuyên:
• Yêu cầu 10: theo dõi và giám sát tất cả các truy cập vào tài nguyên mạng và dữ liệu của chủ thẻ.
  • Yêu cầu 11: Thường xuyên kiểm tra hệ thống và quy trình bảo mật.
  • Nguyên tắc 6: Duy trì chính sách an ninh thông tin:
• Yêu cầu 12: Duy trì chính sách bảo mật thông tin.
  • Các hình phạt đối với việc không tuân thủ được đánh dấu bởi các nhãn hiệu thẻ thanh toán và bao gồm không được phép xử lý các giao dịch thẻ tín dụng, phạt tiền đến $ 25, 000 mỗi tháng đối với vi phạm nhỏ và phạt tới 500.000 đô la cho các vi phạm dẫn đến dữ liệu tài chính bị mất hoặc bị đánh cắp.