Standard za sigurnost podataka na platnim karticama (PCI DSS) je skup sigurnosnih standarda koje su 2004. godine formirali Visa, MasterCard, Discover Financial Services, JCB International i American Express. Šema usklađenosti koja je regulisano od strane Security Standards Council (PCI SSC), ima za cilj osigurati transakcije kreditnim i debitnim karticama od krađe podataka i prevara.
PCI DSS nivo usklađenosti
Usklađenost sa PCI-DSS podeljena je u 4. nivoa, na osnovu godišnjeg broja transakcija kreditnim ili debitnim karticama koje poslovni procesi obavljaju. Nivo klasifikacije određuje šta organizacija treba da uradi da bi ostvarila usklađenost.
Nivo 1: Odnosi se na trgovce koji godišnje obrađuju više od šest miliona transakcija sa kreditnim ili debitnim karticama. Sprovode ih ovlašćeni revizori PCI-DSS-a i oni moraju proći interni audit jednom godišnje. Pored toga, jednom kvartalno moraju se podvrgnuti PCI skeniranju od strane odobrenog dobavljača za skeniranje (ASV);
Nivo 2: Primenjuje se na trgovce koji obrađuju između jednog i šest miliona transakcija kreditnim ili debitnim karticama godišnje. Od njih se zahteva da sprovode procenu jednom godišnje korišćenjem Upitnika za samoprocenu (SAQ). Pored toga, može biti potrebno i kvartalno PCI-DSS skeniranje od strane odobrenog dobavljača za skeniranje (ASV);
Nivo 3: Odnosi se na trgovce koji obrađuju između 20.000 i milion transakcija godišnje. Oni moraju da urade godišnju procenu koristeći relevantni SAK. Takođe će biti potrebno tromesečno skeniranje PCI-DSS-a;
Nivo 4: Primenjuje se na trgovce koji obrađuju manje od 20.000 transakcija e-trgovine godišnje ili na one koji obrađuju do milion transakcija. Godišnja procjena pomoću odgovarajućeg SAQ-a mora se izvršiti i možda će biti potrebno tromesečno skeniranje PCI-DSS-a od strane odobrenog dobavljača za skeniranje (ASV).
PCI DSS zahtevi
PCI SSC je izneo 12 zahteva za rukovanje podacima vlasnika kartica i održavanje bezbedne mreže. Podeljeni između šest širih ciljeva, svi su neophodni da bi organizacija postala usaglašena.
1. Konfiguracija zaštitnog zida mora biti instalirana i održavana;
2. Sistemske lozinke moraju biti originalne (ne isporučuju se od dobavljača);
Bezbedni podaci vlasnika kartica
3. Sačuvani podaci vlasnika kartica moraju biti zaštićeni;
4. Prenos podataka vlasnika kartice preko javnih mreža moraja biti kriptovan;
Upravljanje ranjivošću
5. Antivirusni softver se mora koristiti i redovno ažurirati;
6. Bezbednost sistemia i aplikacija mora se razvijati i održavati;
Kontrola pristupa
7. Pristup podacima vlasnika kartice mora biti ograničen na osnovu poslovnih potreba;
8. Svakoj osobi sa pristupom računaru mora se dodeliti jedinstveni ID;
9. Fizički pristup podacima vlasnika kartice mora biti ograničen;
Nadgledanje i testiranje mreže
10. Pristup podacima vlasnika kartice i mrežnim resursima mora se pratiti i nadgledati ;
11. Bezbednost sistema i procesa mora se redovno testirati;
Bezbednost informacija
12. Mora se održavati politika bezbednosti informacija.