Mis on maksekaarditööstuse andmeturbe standard?

Maksekaarditööstuse andmeturbe standard (PCI DSS) on juhiste ja parimate tavade kogum, mis antakse kõigile ettevõtetele ja teistele krediitkaardiandmeid töötlevatele, edastavatele või salvestavatele ettevõtetele. Need juhised töötas välja PCI turvastandardite nõukogu (PCI SSC) ja nende eesmärk on vältida andmeleket ning sellest tulenevat identiteedivargust ja krediitkaardipettusi. PCI DSS-i järgimisega on seotud kolm käimasolevat faasi: äriprotsesside hindamine ja võimalike riskide tuvastamine, nende riskide kõrvaldamine ning nõuete täitmise aruandlus asjakohastele pankadele ja teistele krediitkaardi väljastajatele.

Maksekaarditööstuses esmatähtis andmeturbestandardite järgimine on turvalise arvutivõrgu loomine ja hooldamine. Kaardiomaniku andmete ja välise võrgujuurdepääsu vahele tuleb ehitada tugev tulemüür. Süsteemiparoolid tuleks rakendada koos muude turvameetmetega igas potentsiaalses võrgu haavatavuse kohas. Kõik kaardiomaniku andmed peavad olema turvaliselt salvestatud ja avalike võrkude kaudu edastamisel peavad need olema krüpteeritud. Pidevad meetmed hõlmavad viirusetõrjetarkvara kasutamist ja töötajate piiratud füüsilist või arvutijuurdepääsu andmetele äritegevuse vajaduse alusel.

Saadaval on arvukalt tööriistu ja teenuseid, mis aitavad organisatsioonidel PCI DSS-iga toime tulla. Kuigi PCI SSC kehtestab PCI-vastavuse standardid, on kõik suuremad krediitkaardibrändid loonud oma standardid nende standardite jõustamise ja järgimise ning krediitkaardi valideerimise protseduuride kohta. Kõik need ettevõtted pakuvad veebipõhiseid ja muid juhiseid organisatsioonidele, kes aktsepteerivad nende kaarte. PCI SSC haldab ka programmi, mis kinnitab kvalifitseeritud turvalisuse hindajaid, kes kinnitavad vastavust maksekaarditööstuse andmeturbe standardile. Organisatsioonidele, kes hindavad oma vastavust ise, pakub PCI SSC mitmes vormis valideerimistööriistu, mida nimetatakse enesehinnanguküsimustikeks, millest igaüks on kohandatud konkreetsele ärikeskkonnale.

Maksekaarditööstuse andmeturbestandardi järgimise põhieelduseks on säilitada ainult organisatsiooni vajaduste jaoks hädavajalikke krediitkaardiandmeid. Salvestatud andmetele tuleks kehtestada tähtajad ja tehingute autentimisandmeid ei tohiks kunagi salvestada. Kõik avalikes võrkudes edastatavad kontonumbrid ja muud tundlikud andmed peavad olema osaliselt maskeeritud.

Muud käimasolevad PCI DSS-i meetmed hõlmavad haavatavuse haldusprogrammi loomist ja hooldamist, mis loob turvalisi rakendusi ja programme. Samuti on vajalik rutiinne jälgimine ja võrgu testimine nõrkuste tuvastamiseks. Samuti peab iga organisatsioon säilitama kirjaliku turvapoliitika ja seda kõigile töötajatele levitama.

SmartAsset.