Payment Card Industry Data Security Standards ( PCI - DSS , of PCI in het kort) is een set van compliance-regels door grote financiële instellingen zoals VISA , Mastercard , American Express en Discover aangenomen . Dit reglement regelt bedrijven die klant - identificeerbare gegevens , zoals creditcard , bankrekening en sofi-nummers te beheren of op te slaan . Wat zijn de compliance-eisen ?
PCI - DSS is onderverdeeld in 12 eisen dat alles regeren van de netwerkconfiguratie en segregatie , wachtwoord en anti - virus beleid , encryptie en software van het bedrijf ontwikkelingscyclus , als ze het ontwikkelen van toepassingen in - house .
bouwen en onderhouden van een Secure Network
de eerste twee eisen deal met een bedrijf de configuratie van de firewall en het veranderen van leverancier in gebreke blijft, zoals de standaard wachtwoorden , op software het bedrijf gebruikt .
Bescherm kaarthouder gegevens
Eisen drie en vier deal hotels met het versleutelen van gegevens waar het is opgeslagen en versleutelen van gegevens , terwijl het wordt uitgezonden . Dit zijn cruciale vereisten en worden meestal onderzocht door PCI accountants . Je moet ervoor zorgen dat je een goede encryptie beleid om deze twee behoeften te dekken.
Handhaaf een Vulnerability Management Program
Eisen
vijf en zes gaan met anti - virus onderhoud en software-ontwikkeling . Voor de eerste, zult u een anti - virus beleid, dat niet is meestal lang en kan worden uitgerold in het beveiligingsbeleid in eis 12 nodig . Eis zes is een van de grootste onderdelen van de PCI - DSS audit en moet een gedocumenteerde software development lifecycle hebben . Eis 6.6 betreft ook penetratie testen van webapplicaties , die de PCI- auditor zal moeten doen alvorens een compliance certificaat . Er zijn tools , zoals Hailstorm of AppScan , dat deze eis moet voldoen .
Implement Sterke Access Control Maatregelen
Eisen
zeven tot negen omgaan met het beperken van de toegang tot gegevens van kaarthouders om alleen die met een need- to-know verantwoordelijkheden , het toewijzen van een unieke identificatie voor elke persoon met toegang tot gegevens van kaarthouders en het beperken van fysieke toegang tot het datacenter waar kaarthouder informatie wordt opgeslagen . Sommige bedrijven zijn in staat om rond eis negen krijgen door het hebben van een PCI - compliant , beheerde provider slaan de gegevens voor hen .
Regelmatig te controleren en testen Networks
Eisen
10 en 11 omgaan met inloggen toegang tot het netwerk in de kaarthouder milieu data en een regelmatige testen schema van alle systemen en processen .
Handhaaf een Information Security Policy
Eis
12 betreft de veiligheidsbeleid , die kan en moet alle van de andere 11 eisen van de PCI - DSS omvatten . Dit is het grootste stuk van de documentatie die moet worden geproduceerd en het is nuttig om te huren van een professionele technisch schrijver om dit te doen .
|
